El desarrollo de la protección de datos personales en Iberoamérica desde una perspectiva comparada y el reequilibro en los modelos de protección de datos a nivel internacional
El desarrollo de la protección de datos personales en Iberoamérica desde una perspectiva comparada y el reequilibro en los modelos de protección de datos a nivel internacional [1]
La protección de datos personales está viviendo en la actualidad un periodo de cambio profundo, tanto en Iberoamérica como en EEUU y en la Unión Europea. Los países iberoamericanos están afrontando en los últimos años un proceso de aprobación de normas de protección de datos personales, que aproxima su legislación al modelo europeo y les aleja del modelo americano[2]. Como es sabido, la protección de los datos personales dentro del modelo americano ha descansado hasta ahora en la autorregulación vinculante y en el ámbito del derecho del consumo y del derecho de la competencia. Las empresas tienen que cumplir con sus clientes sus compromisos de privacidad y si no lo hacen se les puede exigir judicialmente su responsabilidad y la correspondiente indemnización. En cambio, el modelo europeo de protección de datos ha apostado por las herramientas normativas heterónomas, de ahí su fuerte asimetría con el modelo americano. La aproximación de los países iberoamericanos al modelo europeo de protección de datos personales favorece y está siendo premiado con la declaración por parte de la Comisión europea de que estos países garantizan un nivel adecuado de protección, una previsión de la Directiva 95/46/CE que permitía que no se requirieran autorizaciones para las transferencias internacionales de datos personales[3]. Este reconocimiento lo había obtenido hasta ahora Argentina en 2003 y lo obtuvo Uruguay el año 2012, teniendo en cuenta que su legislación reconoce principios y derechos de protección de datos, establece autoridades de control independientes y los necesarios recursos administrativos y jurisdiccionales.
II. El avance de la protección de datos personales en los países iberoamericanos [arriba]
Los países iberoamericanos han reconocido en sus Constituciones el derecho fundamental a la protección de los datos personales y han ido aprobando leyes generales de protección de datos personales[4]. Así, Argentina cuenta con la Ley N° 25.326 de Protección de Datos Personales promulgada el 30 de octubre de 2000 ¾con un anclaje en el art. 43 de la Constitución Nacional Argentina¾, que contiene los principios generales de protección de datos, los derechos de sus titulares, las obligaciones de los responsables y usuarios de datos, el órgano de control, las sanciones y el procedimiento de recurso judicial de habeas data[5]. Argentina tiene una Dirección Nacional de Protección de Datos Personales[6], un órgano de control creado en el ámbito nacional para la protección de los datos personales –que tiene a su cargo un Registro de Bases de Datos– pero que se encuentra encuadrado en el Ministerio de Justicia y de Derechos Humanos. También la Ciudad Autónoma de Buenos Aires dispone de una Ley N° 1.845 de Protección de Datos Personales, que en su art. 23 atribuye competencias de control a la Defensoría del Pueblo de la Ciudad de Buenos Aires[7]. La Comisión Europea declaró en el año 2003 que la legislación argentina garantizaba un nivel adecuado de protección[8], una decisión que ha estado encaminada posiblemente a alentar la implantación del modelo europeo en ese y en otros países, pero cuyo resultado, juzgando aisladamente el caso argentino, ha podido dar lugar a una situación paradigmática o inidónea en algunos aspectos.
Especial mención merece Uruguay que dispone de la Ley N° 18.331, de 6 de agosto de 2008, de Protección de Datos Personales y Acción de Habeas Data –publicada en el Diario Oficial el 18 de agosto de 2008–, que deroga la Ley N° 17.838 de protección de datos personales para ser utilizada en informes comerciales y acción de habeas data del 24 de septiembre de 2004[9]. El fundamento constitucional de dicha ley se encuentra de manera implícita en diversas disposiciones constitucionales, como los arts. 7, 11 y 28[10]. Uruguay cuenta con importantes normas sectoriales de protección de datos personales[11] así como de una Unidad Reguladora y de Control de Datos Personales como autoridad administrativa independiente[12]. Recientemente la Decisión 2012/484/UE de ejecución de la Comisión, de 21 de agosto de 2012, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay, ha supuesto el reconocimiento expreso de la Unión Europea de que este país ya dispone de un nivel adecuado de protección[13]. A nuestro juicio, la legislación uruguaya, posterior a la argentina, es, posiblemente, más garantista que ésta última.
Hay que destacar, especialmente, los importantes avances que se han producido en Colombia, Perú y Costa Rica. Colombia establece en el art. 15 de su Constitución entre las garantías de los gobernados el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas, así como al derecho a que en la recolección, tratamiento y circulación de datos se respeten la libertad y demás garantías consagradas en la misma[14]. Merece una mención especial la Ley N° 1.266, que contiene disposiciones relativas al habeas data y el manejo de datos personales, aprobada el 31 de diciembre de 2008[15].También hay que destacar la Sentencia de la Corte Constitucional de Colombia –C-748/11–, de 6 de octubre de 2011, que lleva a cabo el control constitucional al Proyecto de Ley Estatutaria N° 184 de 2010 por la que se dictan disposiciones generales para la protección de datos personales[16]. La sanción de esta Ley permitió a Colombia contar con una ley general de protección de datos personales: la Ley N° 1.581, de 2012.
Perú establece en el art. 2.5 y 6 de su Constitución que toda persona tiene derecho a solicitar sin expresión de causa la información que requiera y a recibirla de cualquier entidad pública, exceptuándose las informaciones que afectan la intimidad personal y las que expresamente se excluyan por ley o por razones de seguridad nacional. Asimismo dispone que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar. Igualmente, en el art. 200 de la Constitución se señala que entre las garantías constitucionales se encuentra la acción de habeas data[17]. Ha sido la Ley N° 26.470, publicada el 12 de Junio de 1995 la que modificó el numeral 3) del art. 200 de la Constitución Política de Perú en donde se señala que el hábeas data es una garantía constitucional que “procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el art. 2, incisos 5 y 6 de la Constitución”. No existía hasta ahora una norma general que regule de forma específica el derecho a la protección de datos. Esta situación ha cambiado con la aprobación de la Ley N° 29.733, de Protección de Datos Personales, publicada el 3 de julio de 2011[18] y la posterior aprobación de su Reglamento mediante Decreto Supremo N° 003-2013-JUS del 21 de marzo de 2013. Asimismo, hay que destacar la aprobación del Decreto Legislativo N° 1353, de 7 enero de 2017, por el cual se crea la Autoridad Nacional de Transparencia y Acceso a la Información Pública con el objeto de fortalecer el Régimen de Protección de Datos Personales y la regulación de la gestión de intereses.
Costa Rica no tenía hasta hace poco ninguna norma relativa al habeas data en la Constitución ni una ley que lo regule pero su situación ha cambiado en poco tiempo. Su Constitución reconoce el derecho a la privacidad en el art. 23, aunque está en tramitación una reforma constitucional que establece el derecho a la personalidad virtual[19]. También se ha aprobado la Ley N° 8.968, de Protección de la Persona Frente al Tratamiento de sus Datos Personales, publicada el 5 de septiembre de 2011[20]. Además, en fecha de 5 de marzo de 2012, ha entrado en funcionamiento la Agencia de Protección de Datos de la República de Costa Rica.
Particular mención merece el caso de Méjico. El art. 6 de la Constitución Mejicana establece que “la información sobre la vida privada y los datos personales en los archivos gubernamentales serán protegidos conforme a las leyes secundarias”[21]. Por su parte, el art. 16 señala que “nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal de procedimiento”. No existía, por tanto, un reconocimiento constitucional del derecho fundamental a la protección de datos personales. Por ello, mediante Decreto del 21 de abril de 2009 se adicionó al art. 16 un párrafo segundo: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros. No podrá librarse orden de aprehensión sino por la autoridad judicial y sin que proceda denuncia o querella de un hecho que la ley señale como delito, sancionado con pena privativa de libertad y obren datos que establezcan que se ha cometido ese hecho y que exista la probabilidad de que el indiciado lo cometió o participó en su comisión”. La reforma atribuyó competencias en este ámbito al Parlamento Federal. Inicialmente, a través de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, del 11 de junio de 2002, se establecían unos principios en materia de protección de datos, que eran únicamente de aplicación a los ficheros de las Administraciones Públicas a nivel federal y que habían sido concebidos como excepción al acceso a la información administrativa –arts. 3 y 20 al 26–, siendo desarrollados por un Reglamento del Registro de Archivos de Datos Personales, de 1 de julio de 2004[22]. La Ley Federal señaló como uno de sus objetivos (art. 4.III)”garantizar la protección de los datos personales en posesión de los sujetos obligados” a través del sometimiento de las bases de datos públicas a los principios de licitud ¾recolección y explotación¾, de calidad, de información, de custodia y de seguridad. De hecho, el IFAI era una autoridad administrativa que garantizaba el acceso a información pública, si bien conocía de la protección de datos personales en algunos supuestos: como límite al acceso a información pública ¾lo que conlleva la generación de versiones públicas que omiten estos datos¾ o cuando este acceso o la rectificación se sustanciaba sobre los propios datos personales sometidos a tratamiento, tutelando estos derechos.
Con posterioridad se aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares –de 5 de julio de 2010– y se reformaron los arts. 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. La Ley de 5 de julio de 2010 se refería únicamente a los ficheros privados y no actualiza sustancialmente la actual legislación referida a los ficheros públicos. Con posterioridad se aprobó el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, de 21 de diciembre de 2011 destinado a reglamentar las disposiciones de la Ley Federal. Después de la aprobación de la Ley General de Transparencia, de 2015, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), que era la autoridad independiente en esta materia se transformó en el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Finalmente en el ámbito público se aprobó el 27 de enero de 2017 la Ley General de Protección de Datos Personales en posesión de sujetos obligados que tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho a la protección de sus datos personales en posesión de sujetos obligados[23].
Hay que señalar que también algunos Estados Mexicanos tienen algunas leyes de protección de datos: Ley de PDP del Estado de Colima (Decreto 356 de 14/6/2003); Ley de Información Pública, Estadística y PDP del Estado de Morelos, publicada el 27/10/2003; Ley de PDP para el Estado y los Municipios de Guanajuato (Decreto 266. Ley publicada en la Segunda Parte del Periódico Oficial del Estado de Guanajuato, el viernes 19 de mayo de 2006); Ley de Acceso a la Información Pública y PDP para el Estado de Tlaxcala (Ley publicada en el Número Extraordinario al Periódico Oficial del Estado de Tlaxcala el viernes 12 de enero de 2007); Ley de Acceso a la Información. Pública y PDP para el Estado de Coahuila (publicada el 2 de septiembre de 2008); Ley de PDP 672 del Estado de Oaxaca (Ley publicada en el Periódico Oficial Órgano del Gobierno Constitucional del Estado Libre y Soberano de Oaxaca el 23 de Agosto de 2008); Ley de PDP para el Distrito Federal (publicada en la Gaceta Oficial del Distrito Federal el 3 de octubre de 2008); Ley de Protección de Datos Personales del Estado de Colima, Código Civil del Estado de Jalisco –art. 40 bis sobre protección de datos personales–; Ley de Información Pública, Estadística y Protección de Datos del Estado de Morelos; Ley de Protección de Datos Personales del Estado de Oaxaca[24]. Hay que destacar también la legislación de los Estados Mejicanos relativa a la transparencia administrativa, como es el caso de la Ley de Transparencia y Acceso a la Información del Estado de Nuevo León[25].
Chile se limita a regular a través de la Ley N° 19.628 sobre la Protección de la Vida Privada, del 28 de agosto de 1999, modificada por la Ley N° 19.812, de 13 de junio de 2002, el tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares, que tendría su fundamento constitucional en el art. 19.4 de la Constitución, que establece la garantía de respeto a la vida privada[26]. En la actualidad, continúa en tramitación un proyecto de ley que modifica la Ley N° 19.628 sobre Protección de la Vida Privada y que trataría de regular la protección de datos personales[27]. Asimismo en 2014, para los fines de consagrar la autonomía y carácter fundamental del derecho a la protección de datos personales se presentó un proyecto de reforma constitucional y que a la fecha se mantiene en tramitación. El texto incluye precisamente la modificación del numeral 4 del art. 19 de la Constitución[28].
Brasil no cuenta con una norma general que prevea y regule el derecho a la protección de datos personales. No obstante, su Constitución Federal establece en el art. 5 la acción de habeas data como un mecanismo a través del cual el ciudadano puede hacer efectivo su derecho de acceso y rectificación de datos o someter a confidencialidad cierta información sensible, frente al Estado o un particular[29]. Existe una Ley, la N° 9.507 del 12 de noviembre de 1997, que regula el derecho de acceso a la información y el habeas data[30].
Ecuador, a partir de la reforma constitucional aprobada en 2008 ha llegado a reconocer, en el art. 66 numeral 19, el derecho a la protección de datos personales como un derecho autónomo “que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley”. Asimismo, reconoce en el art. 92 de su Constitución el habeas data, estableciendo que toda persona tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas[31]. Sin embargo, no existe una norma general en torno al derecho a la protección de los datos personales, aunque sí algunas normas sectoriales[32]. En la práctica, a falta de un marco específico para la protección del derecho fundamental a la protección de datos personales, existe normativa relacionada con la regulación del tratamiento de la información personal tanto en las disposiciones de la Ley del Sistema Nacional de Registro de Datos Públicos, Ley Orgánica de Comunicación y Ley Orgánica de Telecomunicaciones. La principal característica de las normas antes señaladas es, precisamente, considerar principios, bienes jurídicos tutelados, autoridad administrativa de regulación y, responsabilidades para la protección del derecho a la autodeterminación informativa.
Honduras reconoce en el art. 76 de la Constitución el “derecho al honor, a la intimidad personal, familiar y a la propia imagen”. El Decreto Legislativo N.° 237-2012, publicado en la Gaceta el 24 de Enero de 2013, reformó el Capítulo I, del Título IV, de la Constitución de la República, para reconocer el habeas data como una acción que “únicamente puede promoverla la persona cuyos datos personales o familiares consten en los archivos, registros públicos o privados de la siguiente manera: (…) Toda persona tiene el derecho de acceder a la información sobre si misma o sus bienes en forma expedita y no onerosa, ya esté contenida en bases de datos, registros Públicos o Privados y, en el caso de que fuere necesario, actualizarla, rectificarla y/o suprimirla. No podrá afectarse el secreto de las fuentes de información periodística”. Tampoco dispone Honduras de una norma general de protección de datos personales, aunque sí de una Ley de Transparencia y Acceso a la Información Pública[33] –Decreto 170-2006, del 30 de Diciembre de 2006–, que regula el habeas data –art. 23–, la sistematización de archivos personales y su acceso –art. 24– y la prohibición de entrega de información –art. 25–.
Guatemala reconoce en el art. 31 de su Constitución, en relación al acceso a archivos y registros estatales, que toda persona tiene el derecho de conocer lo que de ella conste en archivos, fichas o cualquier otra forma de registros estatales, y la finalidad a que se dedica esta información, así como a corrección, rectificación y actualización, quedando prohibidos los registros y archivos de filiación política, excepto los propios de las autoridades electorales y de los partidos políticos[34]. Tampoco existe norma general en torno al derecho de protección de datos aunque sí algunas normas sectoriales[35]. A partir del Decreto N° 57-2008 de octubre de 2008, que promulga la Ley de Acceso a la Información Pública (art. 9) se regula el tratamiento de los datos personales afianzado en las potestades asignadas en la garantía del habeas data. Con fecha de 20 de agosto del 2009se presentó una iniciativa de Ley de Protección de Datos Personales para aprobación dentro del Congreso de la República.
Nicaragua reconoce en el art. 26 de la Constitución que toda persona tiene derecho: “a su vida privada y la de su familia; a conocer toda información que sobre ella se haya registrado en las entidades de naturaleza privada y pública, así como el derecho de saber por qué y con qué finalidad se tiene esa información[36]; a la inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo”. Asimismo, la reforma constitucional de 2014 logró introducir el recurso de habeas data como un mecanismo de control constitucional en lo público y privado frente al tratamiento de la información de carácter personal[37]. Hasta hace poco tiempo Nicaragua no disponía de una norma general que regule el derecho a la protección de datos, aunque suelen utilizarse cláusulas de confidencialidad en casos concretos[38]. Sin embargo, recientemente se ha aprobado en Nicaragua la Ley de protección de datos personales N° 787, del 29 de marzo de 2012.
Venezuela dispone en el art. 28 de la Constitución que toda persona tiene “derecho de acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados […] conocer el uso que se haga de los mismos y su finalidad, y a solicitar ante el tribunal competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectasen ilegítimamente sus derechos. Igualmente podrá acceder a documentos de cualquier naturaleza que contenga información cuyo conocimiento sea de interés para comunidades o grupos de personas”[39]. El art. 60 establece: “Toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley limitará el uso de la informática […]”. El art. 281, señala: “Son atribuciones del Defensor o Defensora del Pueblo: 3. Interponer las acciones de inconstitucionalidad, amparo, habeas corpus, habeas data y las demás acciones o recursos necesarios para ejercer las atribuciones señaladas en los ordinales anteriores, cuando fuere procedente de conformidad con la ley”. Sin embargo, no existe una norma general que regule de manera específica el derecho a la protección de datos, aunque sí algunas normas sectoriales[40].
Tampoco Bolivia cuenta con una norma general que regule el derecho a la protección de los datos personales[41], aunque sí con una extensa regulación constitucional. La Constitución del Estado Plurinacional de Bolivia, de 1967, modificada por Ley N° 2.650, de 13 de abril de 2004, se limita a establecer que las bolivianas y los bolivianos tienen los derechos a la privacidad, intimidad, honra, propia imagen y dignidad (art. 21), así como las garantías relativas a la privacidad de la correspondencia y las comunicaciones, así como la inviolabilidad del domicilio (art. 23). Hay que destacar la inclusión dentro del Título IV de unas Garantías jurisdiccionales y de acciones, destacando en la Sección Segunda del Capítulo Segundo, las acciones de protección de la privacidad. Así, el art. 130 señala: “I. Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal o familiar, o a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad. II. La acción de Protección de Privacidad no procederá para levantar el secreto en materia de prensa”. El art. 131 establece: “I. La acción de Protección de Privacidad tendrá lugar de acuerdo con el procedimiento previsto para la acción de Amparo Constitucional. II. Si el tribunal o juez competente declara procedente la acción, ordenará la revelación, eliminación o rectificación de los datos cuyo registro fue impugnado. III. La decisión se elevará de oficio, en revisión ante el Tribunal Constitucional Plurinacional en el plazo de las veinticuatro horas siguientes a la emisión del fallo, sin que por ellos se suspenda la ejecución. IV. La decisión final que conceda la Acción de Protección de Privacidad será ejecutada inmediatamente y sin observación. En caso de resistencia se procederá de acuerdo con lo señalado en la Acción de Libertad. La autoridad judicial que no proceda conforme lo dispuesto por este artículo quedará sujeta a las sanciones previstas por la Ley”.
El Salvador se limita a garantizar en el art. 2 de la Constitución el derecho al honor, a la intimidad personal y familiar y a la propia imagen, sin que se prevea de manera expresa el derecho la protección de datos[42]. Tampoco existe una norma legal que desarrolle este derecho, aunque la Ley de Acceso a la Información dedica el Título Ill al desarrollo, en dos capítulos, del derecho a la protección de datos personales, lo que tal vez podría considerarse como una norma que desarrolla este derecho[43].
Panamá recoge en el art. 29 de la Constitución que “la correspondencia y demás documentos privados son inviolables y no pueden ser examinados ni retenidos, sino por mandato de autoridad competente y para fines específicos, de acuerdo con las formalidades legales. En todo caso, se guardará absoluta reserva sobre los asuntos ajenos al objeto del examen o de la retención (…). Todas las comunicaciones privadas son inviolables y no podrán ser interceptadas o grabadas, sino por mandato de autoridad judicial”[44]. La reforma constitucional de 2004 de la República de Panamá incorporó la acción de habeas data: “Toda persona podrá promover acción de habeas data con miras a garantizar el derecho de acceso a su información personal recabada en bancos de datos o registros oficiales o particulares, cuando estos últimos traten de empresas que prestan un servicio al público o se dediquen a suministrar información. Esta acción se podrá interponer, de igual forma, para hacer valer el derecho de acceso a la información pública o de acceso libre, de conformidad con lo establecido en esta Constitución. Mediante la acción de habeas data se podrá solicitar que se corrija, actualice, rectifique, suprima o se mantenga en confidencialidad la información o datos que tengan carácter personal. La Ley reglamentará lo referente a los tribunales competentes para conocer del habeas data, que se sustanciará mediante proceso sumario y sin necesidad de apoderado judicial”. No dispone de una norma general que regule el derecho a la protección de datos, si bien la Ley N° 6 del 22 de enero de 2006 prevé al acción de habeas data[45].
La República Dominicana dispone de una interesante regulación constitucional de la protección de datos personales. Así, la Constitución Política de la República Dominicana, proclamada el 26 de Enero de 2010, establece en el art. 44.2): “Toda persona tiene el derecho a acceder a la información y a los datos que sobre ella o sus bienes reposen en los registros oficiales o privados, así como conocer el destino y el uso que se haga de los mismos, con las limitaciones fijadas por la ley. El tratamiento de los datos e informaciones personales o sus bienes deberá hacerse respetando los principios de calidad, licitud, lealtad, seguridad y finalidad. Podrá solicitar ante la autoridad judicial competente la actualización, oposición al tratamiento, rectificación o destrucción de aquellas informaciones que afecten ilegítimamente sus derechos”. Además, el art. 70 de la Constitución reconoce el Habeas Data: “Toda persona tiene derecho a una acción judicial para conocer de la existencia y acceder a los datos que de ella consten en registros o bancos de datos públicos o privados y, en caso de falsedad o discriminación, exigir la suspensión, rectificación, actualización y confidencialidad de aquéllos, conforme a la ley. No podrá afectarse el secreto de las fuentes de información periodística”[46]. Asimismo, cuenta con una Ley de Datos Personales cuyo objeto es “la protección integral de los datos personales asentados en archivos, registros públicos, bancos de datos u otros medios técnicos de tratamiento de datos destinados a dar informes, sean éstos públicos o privados, así como garantizar que no se lesione el derecho al honor y a la intimidad de las personas, y también facilitar el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 44 de la Constitución de la República Dominicana”[47].
Paraguay no tiene norma general que regule el derecho a la protección de datos[48]. La Constitución no contemplaba nada. Sin embargo, se ha incorporado recientemente a la Constitución de Paraguay el art. 33 que señala: “La intimidad personal y familiar, así como el respeto a la vida privada, son inviolables. La conducta de las personas, en tanto no afecte al orden público establecido en la ley o a los derechos de terceros, estará exenta de la autoridad pública. Se garantizan el derecho a la protección de la intimidad, de la dignidad y de la imagen privada de las personas”; también el art. 135 que señala: “Toda persona puede acceder a la información y a los datos que sobre sí misma, o sobre sus bienes, obren en registros oficiales o privados de carácter público, así como conocer el uso que se haga de los mismos y de su finalidad. Podrá solicitar ante el magistrado competente la actualización, la rectificación o la destrucción de aquellos, si fuesen erróneos o afectaran ilegítimamente sus derechos”.
III. La propuesta de una Carta de Derechos de protección de datos personales de los consumidores en EEUU y de un nuevo marco normativo en la Unión Europea. El reequilibrio de los modelos de protección de datos personales a nivel internacional [arriba]
El Presidente de EEUU Barack Obama presentó el 23 de febrero de 2012 la Consumer Privacy Bill of Rights[49], una Carta de Derechos sobre protección de datos personales de los consumidores, que ofrece una orientación clara sobre lo que los consumidores pueden exigir o deben esperar de quienes manejan su información personal. El proyecto americano reconoce derechos –es una especie de Bill of Rights–, descansa en una autorregulación vinculante y en el caso de que no se cumpla, apuesta por la regulación. Así, hace un llamamiento a las empresas para comenzar inmediatamente a trabajar por implementar estos principios en códigos de conducta, pero advirtiendo de que “mi gobierno trabajará para promover estos principios y trabajar con el Congreso para llevarlos a la ley”[50]. Este texto es, posiblemente, la respuesta americana a la propuesta de la Comisión Europea –que más adelante analizaremos– que llevó a la aprobación de un nuevo marco europeo de protección de datos personales, que ha generado, al menos, este primer movimiento que supone una modificación de la tradicional posición americana en este ámbito y una aproximación al modelo europeo. El presidente estadounidense ha instado también al Congreso a aprobar las leyes para aplicar la nueva legislación en los sectores comerciales no cubiertos ya por la legislación federal sobre protección de privacidad y para desarrollar un código de conducta, de cumplimiento obligatorio. Hay que señalar que Estados Unidos y la Unión Europea han mantenido históricamente múltiples reuniones para tratar de mejorar la “interoperabilidad” de sus sistemas de protección de datos. Estados Unidos había mantenido hasta ahora que sus políticas de privacidad en el medio electrónico eran, como mínimo, tan estrictas como las impulsadas por la Unión Europea[51]. Lógicamente, detrás del cambio de la posición americana en materia de protección de datos personales se encuentra una preocupación por la necesidad de incrementar los flujos comerciales, algo especialmente importante en un contexto de crisis económica. Así, en la cumbre bilateral celebrada en noviembre de 2011 en Washington, el presidente estadounidense, Barack Obama, el presidente del Consejo Europeo, Herman Van Rompuy, y el presidente de la Comisión Europea, José Manuel Durao Barroso, se comprometieron a aumentar su cooperación comercial y en términos de regulación. Posteriormente EEUU y la UE firmaron un Acuerdo para garantizar la protección de datos personales en los intercambios comerciales, como resultado de la Conferencia destinada a facilitar la interoperabilidad de los regímenes comerciales sobre protección de datos, en la que participaron la Vicepresidenta en ese momento de la Comisión y responsable de Justicia Viviane Reding y el Secretario de Comercio, John Bryson. Este Acuerdo buscaba una cooperación trasatlántica más fuerte en el ámbito de la protección de datos que refuerce la confianza de los consumidores y promueva un crecimiento continuo de la economía global de Internet y la evolución del mercado digital común trasatlántico, ante la necesidad de apuntalar el crecimiento y el empleo a nivel global. En un momento de cambios legislativos tanto en EEUU como en la Unión Europea, lo que se trata es de crear marcos normativos de reconocimiento mutuos de protección de la privacidad que permitan el flujo de datos y la interoperabilidad en el Atlántico sin discriminación. Si bien el Acuerdo se ha centrado en las relaciones comerciales, se puso sobre la mesa el compromiso de la cumbre de noviembre de 2011 para finalizar las negociaciones que lleven a un acuerdo completo de privacidad, que facilite también el intercambio de datos en otros ámbitos, como la lucha contra el crimen y el terrorismo.
También en el viejo continente, las iniciativas legislativas que recientemente ha presentado la Comisión para fortalecer la protección de los datos personales en la Unión Europea suponen una cierta aproximación al modelo americano, al tener en cuenta la autorregulación, si bien se sigue apostando principalmente por la regulación y por el incremento de las facultades coercitivas de las autoridades de control, teniendo en cuenta, esencialmente, el modelo español. Aparece, de esta forma, un cierto reequilibro en los modelos de protección de datos personales a nivel internacional, algo necesario en un mundo globalizado e interconectado[52].
Así, como es sabido, la Comisión Europea impulsó también la configuración de un nuevo marco jurídico europeo para la protección de los datos personales[53], a través de la aprobación el 25 de enero de 2012 de una Propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos –un Reglamento general de protección de datos, que deroga la Directiva 95/46/CE– y de una Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos[54]. Estos textos fueron finalmente aprobados el 27 de abril de 2016[55]. Lógicamente, su aprobación afectará a la normativa española de protección de datos personales, en especial, a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre (RPDP). Hay que tener en cuenta, además, que la trasposición que la normativa española hizo de la Directiva 95/46/CE[56] se vio severamente cuestionada por la Sentencia del Tribunal de Justicia de la Unión Europea, de 24 de noviembre de 2011, que ha resuelto la cuestión prejudicial planteada por la Sala de lo Contencioso Administrativo del Tribunal Supremo con arreglo al art. 267 TFUE –a través de la Resolución de 15 de julio de 2010[57]– y que finalmente ha llevado al Tribunal Supremo, en su Sentencia de 8 de febrero de 2012, a anular el art. 10.2.b) del RPDP.
Son distintos los motivos que animaron a la Comisión a modificar el marco normativo de protección de datos personales[58]. El art. 16 del TFUE, introducido en el Tratado de Lisboa, establece que “[t]oda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos”. Este precepto, como señala la Comisión, constituye la nueva base jurídica para la adopción de las normas relativas a la protección de las personas físicas con respecto al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, permitiendo también la adopción de normas relativas a la libre circulación de datos de carácter personal, incluidos los datos personales tratados por los Estados miembros o por los operadores privados[59]. Además, el Tratado de Lisboa suprime la tradicional división entre pilares[60], lo que permite extender la normativa europea de protección de datos personales al ámbito policial y judicial, facilitando un mayor nivel de protección en el antes denominado tercer pilar[61], una cuestión que había sido reclamada reiteradamente por el Parlamento Europeo[62]. La Directiva 95/46/CE excluía el tratamiento de datos personales efectuado en el ejercicio de actividades no comprendidas en ese momento en el ámbito de aplicación del Derecho Comunitario, como las previstas en el Título V –la política exterior y de seguridad común– y el Título VI –la cooperación judicial y policial– del TUE, y, en cualquier caso, los tratamientos de datos personales que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado (incluido el bienestar económico del Estado cuando dicho tratamiento esté relacionado con la seguridad del Estado) y las actividades del Estado en materia penal –art. 3.2 y Considerandos 13 y 16–[63]. Así, en los ámbitos de política exterior y seguridad común y de justicia e interior, la vigencia de la normativa de protección de datos personales se movía en los terrenos de la cooperación y no de la integración[64]. Asimismo, el carácter vinculante que el Tratado de Lisboa dio a la Carta de Derechos Fundamentales de la Unión Europea, que en el art. 8 consagra el derecho a la protección de los datos de carácter personal de manera autónoma al derecho al respeto a la vida privada y familiar reconocido en el art. 7[65], reforzó las bases jurídicas específicas para que la Unión Europea aprobase una normativa sobre protección de datos personales aplicable a todos los ámbitos[66], suprimiendo las limitaciones establecidas en la Directiva. Como es sabido, la malograda Constitución Europea, que también reconocía el derecho fundamental a la protección de datos –arts. I-51 y II-68– y suprimía la división entre pilares, permitía que la aplicación del derecho de la Unión y la tutela de las instituciones europeas no se circunscribieran al primer pilar, contribuyendo a superar las limitaciones del art. 3.2 de la Directiva 95/46/CE[67].
Además, la iniciativa para impulsar un nuevo marco europeo de protección de datos era también consecuencia de los profundos cambios producidos en las tecnologías de la información y la comunicación en los últimos diecisiete años desde la aprobación de la Directiva en 1995 –y en los últimos veinte años desde la elaboración de sus primeros borradores, de los que trae causa, en nuestro país, la ya derogada LORTAD y, en gran medida, la actual LOPD–. La normativa europea y nacional de protección de datos regula y define los ficheros de datos personales –aunque también albergue el concepto de tratamiento–, algo característico de la primera etapa de desarrollo de la informática dominada por los grandes ordenadores –la de la macro-informática– y de la segunda etapa caracterizada por la extensión de los ordenadores personales –la de la micro-informática–, pero no alcanza a regular y ni siquiera a entrever lo que serían las siguientes grandes etapas en la historia de la informática, caracterizadas por el desarrollo y la rapidez de Internet, por los eficaces motores de búsqueda, por la aparición y universalización de las redes sociales virtuales[68], por los servicios de computación en nube –Cloud Computing– o por la reciente problemática que supone el denominado “Internet de las Cosas” –Internet of Things (IoT)[69]–. La Directiva se centraba en dónde estaban los datos, algo que tenía sentido en 1995 pero que carece de valor en la era de Internet donde sólo se sabe dónde está el interesado o dónde tiene su establecimiento principal el responsable del tratamiento, no dónde se encuentra la información. Si bien tanto la Directiva 95/46 CE como el Convenio 108 del Consejo de Europa reconocen principalmente principios y derechos y son tecnológicamente neutrales –y, por tanto, suficientemente flexibles–, han nacido a comienzos de los años ochenta y noventa del siglo pasado por lo que no han podido contener una referencia más expresa a los nuevos tratamientos de datos personales derivados de la revolución que se ha producido en las tecnologías de la información y de las comunicaciones[70]. Esto obliga a repensar y a reforzar la normativa europea de protección de datos personales para que contemple y regule estas nuevas realidades que, si bien aportan principalmente oportunidades y ventajas, también conllevan la aparición de nuevos riesgos. Son tales los riesgos y las amenazas que ha llegado a afirmarse que debemos resignarnos a no tener privacidad –you already have zero privacy. Get over it– o si tenemos privacidad es porque alguien tolera que la tengamos[71].
Hay que tener en cuenta que pocos derechos son tan importantes para la construcción y para hacer viable ese espacio común que hoy representa la Unión Europea como el derecho fundamental a la protección de datos personales. Si el objetivo clásico de la Unión Europea era la libre circulación de personas, mercancías y capitales, y, por tanto de datos personales[72], este movimiento solo era posible si los países que la componen disponían de un modelo de protección de datos personales homogéneo. Se hacía necesario, pues, el establecimiento de un sistema de protección de datos a escala europea que habilitara el intercambio de información personal mediante el establecimiento de estándares comunes[73]. La Directiva 95/46/CE iba encaminada a alcanzar dos de las ambiciones más antiguas del proyecto de integración europea: la realización del mercado interior –en este caso, la libre circulación de datos personales– y la protección de los derechos y libertades fundamentales de las personas físicas en lo que respeta al tratamiento de datos personales[74]. No obstante, a pesar de la preocupación europea por los derechos fundamentales y por la protección de datos personales, que posteriormente se materializó en el art. 8 de la Carta de los Derechos Fundamentales de la Unión Europea, la Directiva 95/46/CE tiene su fundamento jurídico en el art. 100 A –actual art. 95– del Tratado y, por tanto, se basa en el mercado interior[75]. Así, la aprobación de la Directiva se justificaba por la obstaculización al mercado interior y a la libre circulación de datos personales que suponían las distintas regulaciones nacionales sobre protección de datos personales[76]. El Reglamento reitera la previsión de la Directiva de que “la libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales” –art. 1.3–. En todo caso, a pesar de que la Unión Europea no ha sido competente tradicionalmente en derechos fundamentales[77], buena muestra de la importancia del derecho fundamental a la protección de datos personales en la construcción europea es que la primera vez que el Tribunal de Justicia de la Unión Europea afirma que los derechos fundamentales son principios generales del Derecho comunitario fue el caso Stauder una sentencia de 1969 que resolvía un litigio de protección de datos personales[78]. Posteriormente han sido muchos los instrumentos tanto de Derecho originario como derivado que han reconocido y desarrollado el derecho fundamental a la protección de datos personales en la Unión Europea[79], a lo que se ha unido una interesante jurisprudencia del Tribunal de Justicia que ha analizado de manera indirecta este derecho fundamental[80].
El Reglamento aborda con precisión cuestiones como el ámbito de aplicación territorial, resolviendo la problemática de jurisdicción y de ley aplicable que plantean las corporaciones internacionales que ofrecen servicios de tratamiento de datos –redes sociales virtuales, motores de búsqueda, servicios de computación en nube– y que tienen su sede fuera de la Unión Europea. Además introduce nuevas obligaciones del responsable del tratamiento como la evaluación de impacto, el nombramiento de un delegado de protección de datos, el registro de las actividades de tratamiento o el cumplimiento de requisitos en materia de autorización y consulta previas. Regula con precisión la licitud de los tratamientos –decantándose porque exista una declaración o una clara acción afirmativa en el art. 4.11–, la transparencia de la información y el derecho al olvido en Internet –el deseo de “borrar el rastro en Internet”–, haciendo recaer la responsabilidad principal de garantizarlo en quien haya publicado los datos personales y no en los buscadores, e incorporando límites al derecho a la protección de datos personales para garantizar la libertad de información y de expresión. Por último, fortalece a las autoridades de control, tanto en sus funciones como en la posibilidad de imponer importantes sanciones económicas, de manera que puedan ser eficaces en la supervisión y la aplicación de la protección de datos, unificando su capacidad coercitiva y estableciendo mecanismos que faciliten la coherencia en la aplicación de la protección de datos personales en la Unión. El Reglamento supone, de alguna manera, un reconocimiento implícito del modelo español de protección de datos personales y de la actividad de supervisión y control que ha desempeñado la Agencia Española de Protección de Datos en las últimas dos décadas. Hay que subrayar que las divergencias en la protección de datos personales en la Unión Europea han venido motivadas también por la disparidad en la capacidad coercitiva de las autoridades de control –o por una distinta voluntad de ejercer los instrumentos coercitivos– y por la deficiente interpretación y aplicación que llevan a cabo las autoridades de control y los órganos jurisdiccionales en los diferentes Estados de los mismos principios y derechos recogidos en la Directiva ante similares supuestos de hecho.
La protección de datos personales, si es importante dentro de la Unión Europea, lo es aún más en un mundo globalizado e interconectado. No nos referimos únicamente al intercambio transfronterizo de datos derivado del incremento de las relaciones personales y comerciales con otros países, especialmente del área Asia-Pacífico. Los tratamientos de datos personales de la propia esfera personal o doméstica que llevan a cabo las redes sociales virtuales –Facebook, MySpace– o los motores de búsqueda –de la que la polémica relativa a Google Street View es un buen ejemplo– o la prestación de servicios de computación en nube –Cloud Computing[81]– implican la existencia de constantes flujos transfronterizos de información personal para los que no siempre ha sido efectiva la normativa europea de protección de datos –y mucho menos la legislación estrictamente nacional–. Estos tratamientos de datos personales se desarrollan por Internet a través de redes internacionales cuyos usuarios y proveedores de servicios se encuentran ubicados en países diferentes y donde el servidor informático se encuentra también en un tercer país[82]. Cada vez es más complicado determinar la jurisdicción competente –cuál es la legislación aplicable y la autoridad para resolver las disputas– y quién es el responsable del tratamiento. Las amenazas al derecho fundamental a la protección de datos personales provienen de más allá de las fronteras de la Unión Europea[83], lo que exige que, al menos, la normativa de protección de datos personales –y en el futuro las propias instituciones de tutela– tengan también un carácter supranacional. Lógicamente, detrás de esta cuestión se esconde el debate de fondo sobre el papel regulador –principal o subsidiario– de los Gobiernos en Internet, una cuestión que fue abordada por la Cumbre del G-8 dedicada a Internet, en mayo de 2011[84]. Hay que subrayar, como hemos señalado en otro momento, que el derecho fundamental a la protección de datos personales tiene una dimensión internacional de la que carecen otros derechos fundamentales y que es necesario establecer exigencias homogéneas de privacidad, que superen las discrepancias existentes –por no decir los desequilibrios– entre los distintos niveles de protección de los diferentes países, especialmente entre la Unión Europea, Estados Unidos y el ámbito Asia-Pacífico.
Durante los últimos años se ha hecho si cabe cada vez más patente la necesidad de proteger la privacidad en un mundo sin fronteras –especialmente desde la aparición de Internet– y caracterizado por las transferencias internacionales constantes de datos personales. La protección de la privacidad en un entorno globalizado sólo es posible si se consensuan unas normas de protección de datos personales –asumiendo que existen visiones diferentes en los distintos continentes– y si éstas se extienden a todos los países. Lógicamente, la preocupación por alcanzar unos estándares internacionales de protección de datos personales ha correspondido principalmente a las autoridades de control, en las que recae la responsabilidad de velar por el cumplimiento de la legislación nacional de protección de datos personales y por los derechos de las personas en relación con los tratamientos de sus datos personales. Son estas autoridades las más conscientes de que la actual normativa europea y nacional, si bien es un elemento necesario, sigue siendo todavía insuficiente. No obstante, también los representantes de la sociedad civil y de la industria han apoyado estas iniciativas para el establecimiento de unos estándares internacionales de protección de datos personales: los primeros como defensores de los derechos que no son reales y efectivos con la mera aplicación de las normas nacionales; los segundos movidos por un legítimo interés por comercializar productos y servicios que sólo puede impulsarse a nivel global sobre la base de unos estándares internacionales –y no de una variada y cambiante legislación nacional–, que sean transparentes y que den seguridad jurídica, también para los flujos internacionales de información, factor esencial en el desarrollo económico[85]. Si bien existía un consenso generalizado sobre la necesidad de unos estándares internacionales, han faltado en los últimos años iniciativas concretas a este respecto. Posiblemente existía un cierto escepticismo –o pesimismo– acerca de las posibilidades reales de alcanzar tan ambicioso objetivo, que olvidaba la importancia de ir dando pasos concretos –aunque fueran pequeños– en esa dirección. Por ese motivo, fue especialmente importante la aprobación por unanimidad de las Autoridades de Control en la 30ª Conferencia Internacional sobre Privacidad y Protección de Datos celebrada en Estrasburgo en 2008 de una Resolución para elaborar una Propuesta Conjunta para el establecimiento de estándares internacionales sobre privacidad y protección de datos[86], siendo la Agencia Española de Protección de Datos la principal promotora de la iniciativa junto con el Comisionado Federal de Protección de Datos de Suiza. Finalmente, la Resolución de Estándares Internacionales fue aprobada por la 31ª Conferencia Internacional sobre Privacidad y Protección de Datos celebrada en Madrid en 2009 –más conocida como Resolución de Madrid–[87]. Esta Resolución de Madrid tenía como objeto “definir un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de la privacidad a nivel internacional, en relación con el tratamiento de datos de carácter personal” –art. 1–. Para ello, recoge unas disposiciones generales, unos principios de protección de datos básicos, unos derechos de protección de datos de los interesados y unas obligaciones de cumplimiento y supervisión. Esta Resolución supone un equilibro entre las diferentes visiones sobre la protección de datos personales existentes a nivel internacional y que se plasman en las distintas legislaciones. Es, por tanto, un documento nacido del diálogo y de la búsqueda del consenso que trata de integrar las sensibilidades de los distintos continentes, recogiendo los principios que son comunes a todos los modelos[88]. De hecho, la Resolución de Estrasburgo señalaba que “el proceso de elaboración de esta Propuesta Conjunta debe desarrollarse fomentando una amplia participación, en los grupos de trabajo, foros o audiencias que se realicen, de entidades y organizaciones tanto públicas como privadas, con el fin de lograr el más amplio consenso institucional y social”[89]. No obstante, este documento de carácter declarativo, siendo importante, no tiene un carácter normativo y no obliga a los Estados que todavía no hayan aprobado leyes adecuadas, lo que perjudica a los intercambios de datos personales[90]. Para disponer de un instrumento normativo internacional es necesario que su aprobación siga las reglas del Derecho Internacional Público, lo que requiere la intervención de representantes de los Estados y un largo proceso de maduración[91]. La propia Resolución de Madrid “expresa la convicción de la Conferencia de que el reconocimiento de estos derechos pasa por la adopción de un instrumento legislativo universal y vinculante, que haga uso, consagre y complemente los principios comunes de protección de datos y de respeto a la privacidad enunciados en los diferentes instrumentos existentes y que refuerce la cooperación internacional entre autoridades de protección de datos”[92]. La Resolución de Madrid es vista como “un nuevo paso hacia la elaboración, en el momento oportuno, de un instrumento internacional vinculante”, como una llamada para la aprobación de un convenio universal para la protección de las personas con respeto al tratamiento de datos personales. Por ello, el objetivo más ambicioso de la Resolución –y al que quedan encomendadas las autoridades de protección de datos– es promover esta misma propuesta conjunta “como base para un futuro trabajo para la elaboración de un Convenio universal vinculante, y en particular entre las instituciones” –art. 4.a) de la Resolución–[93]. La Resolución tiene también un objetivo más modesto, que es servir para regular las transferencias internacionales de datos. De hecho, señala que “las disposiciones del presente Documento constituirán base apropiada para permitir las transferencias internacionales de datos de carácter personal –art. 4.2 de la Propuesta Conjunta para la Redacción de los Estándares Internacionales–[94].
En todo caso, hay que recordar que existen instrumentos internacionales de protección de datos personales. No nos referimos en este caso a la Directiva 95/46/CE, recientemente derogada por el Reglamento General de Protección de Datos, que afecta únicamente a la Unión Europea, sino especialmente al Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, que ha jugado hasta ahora un papel importante como estándar internacional. Ha sido éste el primer instrumento internacional que no sólo ha reconocido sino que ha fijado los elementos principales del contenido del derecho fundamental a la protección de datos personales, debiendo destacarse el importante papel jugado por la jurisprudencia del Tribunal Europeo de Derechos Humanos para lograr el reconocimiento y tutela del derecho fundamental a la protección de datos personales[95]. Por ello, el Convenio 108 del Consejo de Europa –y su Protocolo Adicional relativo a autoridades de supervisión y transferencias internacionales– ha sido el documento base para la discusión de una norma internacional para la protección de datos personales. La aprobación de una norma internacional no es necesariamente incompatible con promover la ratificación del Convenio 108 del Consejo de Europa por países no europeos que cuenten con una legislación adecuada[96]. Además, la normativa del Consejo de Europa mantiene una importante influencia tanto en la Unión Europea[97] como en sus Estados miembros[98], y debe ser un punto de referencia, al igual que la jurisprudencia del Tribunal de Estrasburgo, para la elaboración del nuevo marco normativo europeo de protección de datos. Pero, por este mismo hecho hay que reconocer que el Convenio 108 es un documento básicamente europeo –eurocéntrico–, siendo indispensable que la normativa internacional de protección de datos incorpore una visión más amplia que acoja el ámbito geográfico americano y de Asia-Pacífico.
En el ámbito del Consejo de Europa se está negociando la redacción de un nuevo Tratado internacional, que reforme y actualice el Convenio 108[99], con una intensa coincidencia con el Reglamento General de Protección de Datos en muchos aspectos –por ejemplo, la transparencia de la información al interesado o el fortalecimiento de las autoridades de control–. Hay dos cuestiones que hay que destacar de los documentos sobre la modernización del Convenio 108. La primera es la preocupación por asegurar la compatibilidad de la normativa del Consejo de Europa con la de la Unión Europea, algo que también está presente en el Reglamento General de Protección de Datos personales. Es interesante comprobar que se ha procedido a la vez a iniciar la reforma de dos instrumentos de protección de datos y que ambos tienen la vocación de ser compatibles. En segundo lugar, el interés del Consejo de Europa por mantener el carácter abierto del Convenio, lo que permite la adhesión por países no europeos y refuerza su potencial carácter de estándar internacional
La presentación por el Presidente Obama de la Consumer Privacy Bill of Rights[100], ha supuesto la modificación del modelo americano de protección de datos personales, poniendo en evidencia que un sistema de protección de datos personales basado únicamente en la autorregulación presenta importantes limitaciones. Además, la modificación del modelo americano para acercarse al modelo europeo, basado en una intensa regulación, representa, en el fondo, el reconocimiento de un fracaso. Este fracaso se hace si cabe más evidente por el proceso de cambio profundo en la protección de datos personales que está viviendo Iberoamérica en los últimos años, en el que distintos países están afrontando un proceso de aprobación de normas de protección de datos personales, que aproxima su legislación al modelo europeo y la aleja del modelo americano. Se resuelve, de esta forma, el dilema que tenían ante sí los países iberoamericanos entre el modelo norteamericano o el modelo europeo de protección de datos personales. Esta aproximación de los países iberoamericanos al modelo europeo de protección de datos personales está siendo valorada positivamente por la Comisión Europea, a través del reconocimiento de que estos países tienen un nivel adecuado de protección –que ha obtenido hasta ahora Argentina en 2003 y Uruguay en 2112–. Este reconocimiento abre la posibilidad de que los países iberoamericanos se conviertan en un espacio donde sean posibles inversiones y actividades empresariales que impliquen transferencias de datos personales, convirtiendo esa región en un espacio más competitivo para el ámbito de las TIC.
Lógicamente, detrás del cambio de posición en el continente americano en materia de protección de datos personales también se encuentra la preocupación por la necesidad de incrementar los intercambios comerciales transatlánticos, algo especialmente importante en un contexto de crisis económica. La cooperación entre América y Europa en el ámbito de la protección de datos refuerza la confianza de los consumidores y facilita el crecimiento de la economía global de Internet y el mercado digital. Esto pone también sobre la mesa la necesidad de establecer marcos normativos de protección de la privacidad que permitan el flujo de datos y la interoperabilidad sin discriminación, también con el área Asia–Pacífico –China, Japón, India, Corea del Sur, Australia–. La protección de datos personales en un entorno globalizado sólo es posible si se consensuan unas exigencias homogéneas de privacidad, que superen las discrepancias existentes –por no decir los desequilibrios– entre la Unión Europea, Estados Unidos y el ámbito Asia-Pacífico y ofrezcan seguridad jurídica a todos los agentes. Aparece, así, de manera clara que la protección de los datos personales tiene una dimensión internacional de la que carecen otros derechos fundamentales y su tutela efectiva exige una normativa internacional. La aprobación de un Tratado internacional –del que la Resolución de Madrid de Estándares Internacionales sobre Protección de Datos Personales y Privacidad de 2009 fue un primer paso– que establezca una normativa de protección de datos personales y unas instituciones de supervisión a nivel internacional es algo imprescindible, lo que requiere integrar las sensibilidades de los distintos continentes. No hay que olvidar, en todo caso, el importante papel que el Convenio 108 del Consejo de Europa está jugando en ausencia de un instrumento internacional, habiendo adherido recientemente Uruguay. Al final, los Estados y las entidades internacionales y supranacionales son los últimos garantes del interés público y de los derechos de las personas y no deben renunciar a la regulación y a la supervisión en Internet y a la protección de la privacidad.
Hay que señalar que tanto la aprobación del Reglamento General de Protección de Datos, que deroga la Directiva 95/46/CE y desplaza las leyes de los Estados miembros que estén en contradicción con el Reglamento como la aprobación de la Directiva para el ámbito policial y judicial, configuran un nuevo marco normativo para la protección de datos personales en la Unión Europea Las propuestas de Reglamento y de Directiva fueron posiblemente el proyecto estrella del mandato de la Vicepresidenta de la Comisión Viviane Reding. Se abrió entonces un intenso periodo de negociación en el Consejo y en el Parlamento durante los años 2013-2015. La iniciativa normativa de la Unión Europea se une a la impulsada en el Consejo de Europa para negociar un nuevo Tratado internacional que reforme y actualice el Convenio 108. Llama la atención que se haya acometido la reforma a la vez de dos instrumentos internacionales de protección de datos y que esté presente en ambos la vocación y la preocupación por ser compatibles y en ningún caso contradictorios.
La Comisión justificó el valor añadido de la intervención de la Unión Europea a través de la aprobación de un Reglamento en que los objetivos perseguidos de facilitar el funcionamiento del mercado interior y garantizar la protección de los datos personales de los ciudadanos europeos no pueden ser alcanzados de manera suficiente por los Estados miembros. Estos, por sí solos, no pueden mitigar los problemas de libre circulación de datos en las fronteras internas de la Unión Europea que plantea la situación actual de fragmentación de las legislaciones nacionales, lo que obliga a hacerlo a escala de la Unión, como exige el principio de subsidiariedad –art. 5.3 TUE–. Al mismo tiempo, el Reglamento permite una protección más efectiva de los ciudadanos europeos frente a los tratamientos de datos a escala internacional, que puede lograrse mejor a nivel de la Unión. Por ello, el Reglamento tiene que ser bienvenido desde la perspectiva de las personas porque les da más instrumentos para el control sobre su información personal. El incremento de los tratamientos de datos personales derivado del proceso tecnológico –Internet de las cosas, video vigilancia, biometría, nanotecnología, historia clínica electrónica en la nube, RFID– eleva el nivel de riesgo para la privacidad, por lo que este proceso debe ir acompañado de un fortalecimiento de las garantías de las personas en la era de Internet.
Desde la perspectiva de los países, el Reglamento no se aleja del objetivo –no alcanzado– de la Directiva de tratar de mantener un equilibrio entre la libre circulación de la información personal y la tutela del derecho a la protección de datos personales en la Unión Europea. El texto equipara el nivel de protección de los datos personales en todos los Estados miembros, suprimiendo las divergencias graves que existían entre países para asegurar un alto nivel de protección de datos personales. Esto en la práctica supone un endurecimiento del régimen jurídico para aquellos países que presentaban un menor nivel de exigencia –basta poner el ejemplo de la incorporación de una normativa que establece muy graves sanciones económicas por incumplimientos en ordenamientos nacionales que no contemplaban ninguna o la supresión del consentimiento tácito–, sin que pueda afirmarse que el texto conduce al mismo tiempo a España a una disminución del nivel de protección. La aplicación del criterio del interés legítimo del responsable como legitimación para el tratamiento sin consentimiento –también en virtud de la STJUE, de 24 de noviembre de 2011, que ha atribuido un efecto directo a este supuesto ya previsto en la Directiva– o la desaparición del régimen específico para las cesiones de datos, introducen en el ordenamiento jurídico de España instrumentos que permitan la ponderación entre derechos e intereses legítimos y le va a restar rigideces, especialmente aquellas que aportó la STC 292/2000, de 30 de noviembre, que incorporó al contenido esencial del derecho fundamental elementos que justamente estaban absoluta y completamente fuera de la noción admitida por los juristas de lo que el derecho a la protección de los datos personales significaba. Posiblemente habrá quien piense que puede existir en España un eventual conflicto entre el Reglamento y la Constitución –o por decirlo más exactamente, entre Reglamento y jurisprudencia constitucional–, que, además, no puede ser resuelto por el Tribunal Constitucional, que no controla la constitucionalidad del derecho derivado institucional. El Reglamento tiene como parámetro el Derecho de la Unión y al Tribunal de Justicia como único juez competente para juzgar su validez. Las instituciones europeas están obligadas a respetar las tradiciones constitucionales que sean comunes y que forman parte también del Derecho que debe garantizar el Tribunal de Justicia. Lógicamente los actos nacionales de ejecución del Derecho de la Unión que lesionen un derecho fundamental son controlables por el Tribunal Constitucional.
Indudablemente –y todavía desde la perspectiva de los países–, la aprobación del Reglamento, una norma de Derecho derivado institucional obligatoria en todos sus elementos, deja poco margen de maniobra a los Estados, correspondiéndole sobre todo a la Comisión la aclaración de algunos conceptos jurídicos indeterminados a través de la aprobación de actos delegados. No obstante, según avanzó el proceso negociador y creció en los Gobiernos la preocupación por la pérdida neta de soberanía en un punto que alcanzaba al desarrollo legislativo de un derecho fundamental, el Reglamento comenzó a incluir más habilitaciones a los Estados, concediéndoles a éstos un mayor margen de maniobra en algunas materias que afectaban a derechos fundamentales –libertad de expresión, libertad religiosa–, interés público, ámbito sanitario, relaciones laborales, de manera que se pasó de una Directiva que permitía una flexibilidad formal a un Reglamento que era algo flexible en lo material[101] En todo caso, cualquiera que sea la mayor o menor flexibilidad material del Reglamento, lo que está claro es que su aprobación reduce la libertad del legislador nacional en el desarrollo de un derecho fundamental y afecta al principio democrático. No nos referimos ahora a la limitada intervención del Parlamento en la ejecución de un Reglamento, que presenta un alto nivel de detalle y de especificación, que supone también una subordinación y limita en gran medida la amplitud del debate. No se trata sólo de reincidir en la débil implicación de los Parlamentos nacionales en el proceso europeo de toma de decisiones, que las Cortes Generales no ejerciten ningún mecanismo de control sobre la acción normativa que el Gobierno desempeña en el Consejo o de la escasa presencia en la determinación de la política europea de la Comisión Mixta Congreso-Senado para la Unión Europea[102]. Sin negar el reforzamiento del Parlamento Europeo y la garantía que esto supone para al principio democrático, queremos incidir sobre todo en la ausencia de un debate político sobre el nuevo marco europeo de protección de datos –que va a desplazar todas las leyes de los Estados–, que llegue también a la opinión pública y a los medios de comunicación y que facilite la reconducibilidad –zurückgeführt– de las decisiones al pueblo, titular de la soberanía[103]. Esta ausencia de debate se manifiesta especialmente cuando lo comparamos con el que hubo para la aprobación de la LORTAD o de la LOPD o recientemente en relación con la tramitación y aprobación de la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, tanto en el Parlamento como en los medios de comunicación y en la opinión pública. Se van a desplazar leyes estatales aprobadas tras una acalorada discusión pública y que fueron impugnadas y que exigió un pronunciamiento del Tribunal Constitucional, por un reglamento general de protección de datos personales aprobado sin debate político alguno que llegue a la opinión pública –lo que ocurre ordinariamente con los que celebra el Parlamento Europeo–. La tramitación del marco normativo europeo de protección de datos evidencia, de nuevo, los déficits constitucionales que presenta la integración europea. El déficit democrático se hace visible por la prevalencia de los criterios técnicos sobre los políticos en el proceso de negociación del marco normativo europeo de protección de datos personales, algo que comienza a hacerse consustancial a la aprobación del derecho derivado institucional –y que se extiende a la política europea y a la de los propios gobiernos nacionales–. Esta es una cuestión que ha de tenerse en cuenta, sobre todo, si los documentos iniciales provienen de instituciones y grupos que carecen de legitimidad democrática directa o indirecta y no están sometidos a controles políticos. No nos referimos únicamente a la participación decisiva de autoridades administrativas independientes –supervisor europeo, grupo del art. 29 y agencias de protección de datos– en la elaboración de los primeros documentos previos a los borradores y en la orientación de las posiciones de los Gobiernos, algo razonable habida cuenta de que son las autoridades de control las que conocen mejor la realidad y los efectos de adoptar una decisión u otra. Las instituciones de la Unión Europea como los Gobiernos han seguido fundamentalmente criterios de técnicos en ausencia de criterio político alguno al respecto. El Reglamento es un texto técnico que nace de la Comisión, en el que se ha hecho ostensible una depreciación de la política, a la vez que la opinión pública se mantiene al margen en una materia que no interesa tampoco a los medios de comunicación. Déficit de debate político y adopción de decisiones sólo en virtud de criterios técnicos sin trascendencia pública alguna que es el hábitat preferido por la industria para poder, al menos, presionar, orientando hacia una u otra postura, con consecuencias claramente económicas bajo la cobertura de razones técnicas. Además, el hecho de que el debate político en la Unión Europea y en los distintos países se haya encontrado casi monopolizado en los últimos años por las cuestiones económicas plantea el interrogante de si un contexto de crisis económica grave es el mejor momento para acometer una revolución sustancial del marco de protección de datos que desplace las leyes de los Estados. Si en la década pasada los atentados terroristas de Nueva York, Londres o Madrid pusieron en la agenda de los gobiernos –también de sus opiniones públicas– la preocupación por la seguridad en detrimento de la privacidad, lo que implicó un mayor grado de injerencia en el derecho a la protección de datos personales –retención de datos de tráfico, cesión de datos de pasajeros a EEUU– que tuvo que ser revisado posteriormente en sede jurisdiccional, la preocupación por los problemas económicos en el contexto actual han podido llevar al llevar al traste durante la negociación los buenos propósitos iniciales de la Comisión y la aprobación del nuevo Reglamento puede ser visto sólo como una oportunidad para fortalecer el mercado interior en un contexto de crisis económica en detrimento de la privacidad. Por ello, la modificación de la Directiva ha sido una operación no exenta de riesgos, sobre todo, si la armonización finalmente se encamina a descender el nivel de protección para acercarse a los países que presentan un menor nivel de exigencia. De ahí la opinión de quienes mantenían que las principales divergencias entre Estados podían resolverse sin modificar la Directiva pues existía aún un amplio margen para mejorar su aplicación, a través del desplazamiento o la modificación de la legislación nacional que incumplía la Directiva, una mayor armonización de la interpretación que teniendo como base la argumentación jurídica podía llegar a criterios comunes entre los distintos órganos que tienen que aplicar el derecho fundamental a la protección de datos, una mayor cooperación entre las autoridades que superase las prácticas divergentes y un incremento de la actividad de control que evitase el déficit de enforcement.
Desde la perspectiva de la industria y los mercados, el Reglamento es visto con una cierta reticencia. Por una parte, existe una valoración positiva hacia la superación de la fragmentación de la legislación que dificultaba comercializar productos y servicios y hacer políticas de privacidad paneuropeas y que representaba un límite a la competencia e incrementa los costes. La simplificación normativa del Reglamento y la supresión o flexibilización de algunas exigencias de las leyes nacionales que los mercados consideraban burocráticas, como la notificación de los tratamientos o los trámites para las transferencias internacionales de datos han merecido también un juicio positivo. De hecho, uno de los objetivos del Reglamento es hacer sencilla la protección de datos, reduciendo la carga administrativa, pero incrementando al mismo tiempo la accountability. No obstante, el Reglamento incorpora nuevas obligaciones para el responsable –hacer evaluaciones de impacto en la privacidad, designar un delegado de protección de datos, llevar un registro de actividades de tratamiento, notificar las brechas de seguridad, hacer privacy by design–, sin que aparentemente para la industria su cumplimiento les exima de nada, manteniendo algunos requerimientos para las pequeñas y medianas empresas que éstas consideran todavía excesivos aunque se les haya liberado de otros. El Reglamento trae más obligaciones para las empresas y, por tanto, más posibilidades de sanciones económicas por incumplimientos, que, aunque deban ser aplicadas con ponderación y regirse por el principio de proporcionalidad, pueden ser potencialmente muy elevadas si se tiene en cuenta el volumen de negocio. Así, el Gobierno Británico había cuantificado los costes y los beneficios que iba a suponer para la economía británica la implantación del nuevo marco normativo europeo y se había comprometido a apoyar un instrumento que no sobrecargase –not overburden– a las organizaciones y que permitiera el desarrollo y la innovación, marcando, de esta forma, las líneas rojas de la posición británica en el proceso negociador[104].
Es innecesario decir que la vía que le interesa a la industria para la protección de los datos personales es la autorregulación. Y esta es, sin duda, una herramienta aprovechable. De hecho, el Reglamento incorpora instrumentos propios de ese ámbito como la privacidad en el diseño –que la privacidad esté presente en el momento del diseño del sistema de información, por ejemplo, en la elaboración de las especificaciones técnicas y en el desarrollo de los programas o sistemas operativos–, la privacidad por defecto –que las configuraciones por defecto respeten la privacidad–, las certificaciones y sellos de protección de datos, los códigos de conducta o las tecnologías de protección de la privacidad, avanzando en este camino más allá de lo que lo hacía la Directiva. La autorregulación es, por ello, una respuesta ágil cuando falte una regulación jurídica en el ámbito nacional o internacional, ante situaciones de gran complejidad técnica o ante la imposibilidad de llegar a todos los ámbitos a través de una actividad administrativa de inspección y control, pudiendo contribuir a la protección de los derechos del usuario. Es imprescindible que las instituciones públicas eviten las posiciones frentistas en relación con las empresas y sean capaces de generar entornos de colaboración, lo que no significa ceder ante la industria –que no deja de ser un stakeholder– sino de alcanzar un diálogo que permita una mayor protección de los datos personales. La privacidad se debe mostrar como una oportunidad de negocio, como una ventaja competitiva para las empresas, como algo sexy que posiciona mejor y que es un incentivo en el mercado. Por ello, es imprescindible introducir la protección de datos dentro de la responsabilidad empresarial, convirtiendo a las empresas –también al buen funcionamiento de sus propios canales de denuncia– en un elemento estratégico en el sistema de garantías, convenciéndolas de que Internet y la protección de datos es un canal de retorno, que la privacidad es algo demandado por los clientes y cuyas quiebras afectan gravemente a la reputación corporativa –como han comprobado recientemente tanto empresas proveedoras de servicios de redes sociales como las propias Administraciones Públicas–.
Sin embargo, la autorregulación representa únicamente una solución complementaria y no puede ser la garantía principal sobre la que descanse la privacidad de los usuarios. Las empresas se siguen moviendo frecuentemente por lógicas económicas a corto plazo. Las normas jurídicas han surgido, de hecho, como garantía de la privacidad frente a las malas prácticas de las empresas. El cumplimiento de la normativa de protección de datos personales supone, lógicamente, un incremento de costes y la industria tiene una tendencia natural a reducir cargas económicas para ser más competitiva o para obtener más beneficios. Si bien es extremadamente importante en un contexto como el actual incidir en los análisis de impacto económico de cualquier obligación nueva que se imponga a las empresas –siendo también especialmente sensibles y proporcionales en la aplicación de sanciones económicas– para no debilitar el tejido empresarial, también las empresas deben ser conscientes de que tienen que cumplir la normativa de protección de datos, como también cumplen la de prevención de riesgos laborales o la de medio ambiente, porque se trata de respetar un derecho fundamental. Las exigencias privadas a través de la autorregulación no llegan a garantizar con plenitud los derechos de los afectados por lo que hay que aplicar también en este ámbito los instrumentos heterónomos y la regulación y la supervisión desde fuera de la empresa, especialmente en un periodo en el estamos padeciendo las consecuencias económicas de la autorregulación y de la desregulación. Todo ello, para hacer posible que la privacidad sea un derecho vigente en nuestros días. Como ha señalado el Presidente Obama, “one thing should be clear, even though we live in a world in which we share personal information more freely than in the past, we must reject the conclusion that privacy is an outmoded value. It has been at the heart of our democracy from its inception, and we need it now more than ever”[105].
[1] Este texto fue enviado como contribución al X Aniversario de la Agencia Vasca de Protección de Datos, en 2014.
[2] Cfr. C. G. Gregorio, “Protección de datos personales. Europa vs Estados Unidos, todo un dilema para América Latina”, en Transparentar al Estado: la Experiencia Mexicana de Acceso a la Información, UAM, 2004. La Organización de Estados Americanos ha incidido en la importancia de regular la protección de datos personales en América. Así, la Asamblea General de la OEA, en su sesión ordinaria en San Salvador realizado del 5 al 7 de junio del 2011, recalcó la creciente importancia de la privacidad y la protección de datos personales, así como la necesidad de fomentar y proteger el flujo transfronterizo de información en las Américas y estudió un proyecto de principios y recomendaciones preliminares sobre la protección de datos personales. La aprobación de normas de protección de datos personales en Iberoamérica se ha hecho a distinto ritmo por parte de los Estados y sin la existencia de un instrumento que les vincule en el ámbito del Derecho Internacional Público. A diferencia de lo que sucede en Europa, que dispone del Convenio 108 del Consejo de Europa y de la Directiva de la Unión Europea 95/46/CE, Latinoamérica carece de un tratado internacional que regule el derecho a la protección de datos personales, su contenido esencial de principios y derechos y las garantías de protección. Desde la perspectiva política, hay que citar la Declaración de Santa Cruz de la Sierra, del 15 de noviembre del 2003, donde los jefes de Estado y de Gobierno de 21 países iberoamericanos manifestaron que “la protección de datos personales es un derecho fundamental de las personas” –núm. 45–. Hay que mencionar especialmente la creación de la Red Iberoamericana de Protección de Datos, una iniciativa de José Luis Piñar Mañas. Cfr. J. L. PIÑAR MAÑAS (Dir.), La red iberoamericana de protección de datos. Declaraciones y documentos, Tirant lo Blanch, 2006. Como ha señalado N. Remolina, “si la OEA adopta medidas estratégicas, beneficiará a todos los países latinoamericanos y logrará que nos convirtamos en un lugar en donde se pueda invertir sin reserva en negocios que involucran transferencia de datos personales desde diversas partes del mundo. Esto hará que América Latina sea más competitiva frente a otros sitios del globo terráqueo respecto de nuevos y más significativos negocios en TIC e información personal”. Cfr. N. Remolina Angarita, Ámbito Jurídico, núm. 326, julio-agosto de 2011, pág. 12.
[3] El Reglamento General de Protección de Datos de la Unión Europea, que después mencionaremos, también regula las transferencias basadas en una decisión de adecuación lo que garantiza un nivel adecuado de protección y permite la transferencia sin ninguna autorización específica –art. 45–.
[4] Quiero agradecer al L. Oswaldo Ordóñez Pineda la revisión de la vigencia de la normativa latinoamericana citada.Nelson Remolina ha analizado los textos constitucionales y las normas generales sobre protección de datos de los países latinoamericanos, concluyendo que la mayoría de éstos contienen en sus Constituciones disposiciones explícitas sobre protección de datos personales pero sólo una minoría posee normas generales que desarrollan aspectos de la transferencia internacional de datos. Cfr. N. Remolina Angarita, “Insuficiencia de la regulación latinoamericana frente a la recolección internacional de datos personales a través de internet”, Quaestiones Disputatae Núm. 2. Universidad Javeriana, Bogotá, febrero de 2012, págs. 179-226, esp. págs. 208-211. El estudio de Remolina señala que el 65% de los países latinoamericanos incorporan en su Constitución disposiciones explícitas referentes a la protección de datos personales. Este fenómeno constitucional latinoamericano se ha gestado desde mediados de los ochenta, siendo Guatemala (1985), Nicaragua (1987) y Brasil (1988) los primeros países que incorporaron en sus Constituciones estos preceptos. Durante la década de los noventa, Colombia, Paraguay, Perú, Argentina, Ecuador y Venezuela llevaron a cabo este reconocimiento constitucional, al que se añadieron –ya a partir del año 2000– Bolivia, Honduras, México (en 2008 y 2009) y República Dominicana en 2010 –págs. 205-206–. Este autor también señalaba que en ese momento sólo el 25% de los países (Argentina, Chile, México, Uruguay y Perú) tienen una norma general de protección de datos –pág. 207–. Un buen análisis de la evolución de la legislación en Latinoamérica se encuentra en la colección Derecho y Nuevas Tecnologías, que dirige P. Palazzi. Este autor ha coordinado “Actualidad de la protección de datos personales en América Latina”, Revista Española de Protección de Datos, núm. 7, 2009, págs. 227-271. Cfr. también F. Argüello Téllez, “Protección de datos personales: la Directiva Comunitaria, su influencia y repercusiones en Latinoamérica”; D. Rodríguez Torres, “La Conferencia Iberoamericana, sus sistema de cooperación y la protección de datos personales”, y R. Amato Lusararian, “Mercosur y la protección de datos”, todos en J. L. Piñar Mañas, Protección de Datos de Carácter Personal en Iberoamérica (II Encuentro Iberoamericano de Protección de Datos, La Antigua-Guatemala, 2-6 de junio de 2003), Tirant lo Blanch, Valencia, 2005, págs. 69-85, 129-138 y 139-150. Hay otros estudios clásicos que analizan la situación de la protección de datos personales en Latinoamérica. Merece la pena destacar los trabajos de O. Puccinelli, El Habeas Data en Indoiberoamérica, Editorial Temis, Bogotá, 1999; y P. Dubié, ¿Quo vadis? Iberoamérica fija un rumbo en protección de datos, Ad-Hoc, Buenos Aires, 2004.
[5] La Constitución de la Nación Argentina, de 22 de agosto de 1994, establece en su art. 43 que "toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos. No podrá afectarse el secreto de las fuentes de información periodística". Además, hay que mencionar otras normas generales de protección de datos personales, como la Ley N° 25.326 de Protección de Datos (Habeas Data) del 2 noviembre de 2000 y el Decreto 1558/2001, de Reglamentación de la ley de Protección de Datos (Boletín Oficial del 3 de diciembre de 2001). Argentina dispone también de una amplia legislación sectorial. Así, la Ley N° 27.063 o Código Procesal de la Nación (10 de diciembre de 2014) en su art. 13 establece “el derecho a la intimidad y a la privacidad del imputado y de cualquier otra persona, en especial la libertad de conciencia, el domicilio, la correspondencia, los papeles privados y las comunicaciones de toda índole”; el Código Civil y Comercial de la Nación (15 de septiembre de 2016) que en su arts. 1740 y 1170 establece la protección de la vida privada y reparación plena en caso de daños derivados de la lesión del honor, la intimidad o la identidad personal. Hay que citar también distintas normas en proyecto como el Proyecto de Ley en 2016 (S-2114/16) de modificación del Artículo 26 inciso 4 y Artículo 27 de la Ley N° 25.326. Los delitos informáticos en la actualidad se regulan mediante la Ley N° 26.388 de modificación del Código Penal, promulgada el 24 de junio de 2008. El correo electrónico se ha regulado por la Ley N° 1.845 que “tiene por objeto regular, dentro del ámbito de la Ciudad de Buenos Aires, el tratamiento de datos personales referidos a personas físicas o de existencia ideal, asentados o destinados a ser asentados en archivos, registros, bases o bancos de datos del sector público de la Ciudad de Buenos Aires, a los fines de garantizar el derecho al honor, a la intimidad y a la autodeterminación informativa, de conformidad a lo establecido por el artículo 16 de la Constitución de la Ciudad de Buenos Aires”. Sobre la legislación sectorial argentina y la jurisprudencia de la Corte Suprema, cfr. O. Puccinelli, Protección de datos de carácter personal, Editorial Astrea, Buenos Aires, 2004, págs. 81-105.
[6] En noviembre de 2016 esta Dirección Nacional ha sido nombrada como miembro del Comité Ejecutivo de la Red Iberoamericana de Protección de Datos junto con las autoridades de Colombia y México.
[7] Hay que mencionar también la propuesta ante el Senado de Argentina del Proyecto de Ley sobre el derecho al olvido. Sobre este tema, Palazzi estima que “la determinación de la ley aplicable al tratamiento de datos personales en Internet es difícil de abordar y debe recurrirse a los principios generales del Derecho, o desarrollar nuevos criterios para poder determinar la competencia territorial de las normas locales en Internet (…) En Argentina los tribunales también reconocieron el derecho al olvido en materia de informes comerciales antes de que la ley 25.326 los contemplara en forma expresa. Por ende no parece difícil que el derecho al olvido tenga andamiento jurisprudencial antes de que la ley 25.326 lo recepte en una futura reforma legislativa, aunque se deberá tener en cuenta las limitaciones que la ley 25.326 establece para la prensa y cómo impactan en los buscadores”. Cfr. P. Palazzi, “El reconocimiento en Europa del derecho al olvido en Internet”, Diario la Ley, 2014-C, AÑO LXXVlll N° 106, Buenos Aires, disponible en: http://www.privacylatam.com/wp-content/uploads/2014/06/Diario-9-6-14.pdf.
[8] La declaración de la Comisión Europea fue publicada en el Diario Oficial del 5 de julio de 2003. Posteriormente la Comisión declaró a Israel y Andorra como países que tienen un nivel adecuado de protección.
[9] Cfr. H. M. Delpiano, “Actualidad de la protección de los datos personales y del habeas data en el Uruguay”, Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 403-417; A. Brause Berreta “La situación en Uruguay sobre Protección de Datos Personales” y A. Brian Nougrères, “Marcos normativos en protección de datos personales. El caso de Uruguay”, ambos Protección de datos de carácter personal en Iberoamérica, cit. págs. 337-342 y 343-350.
[10] La Constitución de la República Oriental de Uruguay de 1967 no contiene una mención expresa a la protección de datos personales sino que hace referencia indirecta a la privacidad en distintos artículos. Así, el art. 7 señala que "los habitantes de la República tienen derecho a ser protegidos en el goce de su vida, honor, libertad, seguridad, trabajo y propiedad. (…); el art. 11 establece que “ el hogar es un sagrado inviolable"; el art. 28 establece que "los papeles de los particulares y su correspondencia epistolar, telegráfica o de cualquier otra especie, son inviolables”; el art. 72 señala que “la enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno”. Por último, el art. 332 fija que “los preceptos de la presente Constitución que reconocen derechos a los individuos, así como los que atribuyen facultades e imponen deberes a las autoridades públicas, no dejarán de aplicarse por falta de la reglamentación respectiva, sino que ésta será suplida, recurriendo a los fundamentos de leyes análogas, a los principios generales de derecho y a las doctrinas generalmente admitidas”.
[11] Hay que destacar entre las normas sectoriales en protección de datos personales de Uruguay: la Ley N° 18.812 (23 de Septiembre de 2011) que establece el marco jurídico para garantizar el derecho a la protección de datos de carácter personal inscritos en la Central de Riesgos Crediticios del Banco Central; la Ley N° 18.381 (07 de noviembre de 2008) de Acceso a la Información Pública; la Ley N° 18.335 (26 de agosto de 2008) de Derechos y obligaciones de pacientes y usuarios de los servicios de salud; la Ley N° 18.244 (27 de diciembre de 2007), que establece normas para el tratamiento de datos de los deudores alimentarios morosos; la Ley N° 17.930 (19 de diciembre de 2005), que establece en los arts.320, 460, 461 y 469 un registro de empresas infractoras; la Ley N° 17.835 (23 de setiembre de 2004), que en su art. 1 establece una limitación relativa alsecreto en transacciones financieras; la Ley N° 17.823 (7 de setiembre de 2004), especialmente los arts.160-1, 160-2 –introducidos por la Ley N° 1.850 de 18 de septiembre de 2009–, 218, 219, 221 y 222, que contiene el Código de la Niñez y la Adolescencia; la Ley N° 16.736 (5 de enero de 1996), especialmente el 694, que aprueba el Presupuesto Nacional para el período 1995–2000, estableciendo el acceso a informaciones de interés en la Administración Pública; la Ley N° 16.099 (3 de noviembre de 1989), especialmente los arts. 1 a 32, que regula la libertad de comunicación de pensamientos e información, y consagra el derecho de respuesta; el Decreto Ley N° 15.322 (17 de setiembre de 1982), de Intermediación financiera que en el art. 25 establece el secreto bancario. También hay que destacar que Uruguay dispone de una interesante regulación de rango infra legal entre la que destacan los siguientes Decretos: Decreto N° 414/009 (31 de Agosto de 2009) Reglamentario de la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data; Decreto N° 664/008 (22 de Diciembre de 2008), que regula la inscripción y/o registro de las Bases de Datos Personales a cargo de la Unidad Reguladora y de Control de Datos Personales que brindan informes objetivos de carácter comercial; el Decreto N° 379/008 (4 de agosto de 2008), de regulación sobre la investigación con seres humanos; el Decreto N° 250/007 (9 de julio de 2007), de regulación sobre derecho a la identidad del niño y su identificación desde el nacimiento; el Decreto N° 249/007 (9 de julio de 2007), que regula aspectos del uso de la tecnología informática en la identificación de personas; el Decreto N° 399/006 (30 de octubre de 2006), que crea el Registro de Bases de datos, archivos, registros y otros medios similares autorizados, destinados a brindar informes de carácter comercial; el Decreto N° 246/005 (8 de agosto de 2005), que incorpora la Resolución N° 21/04 del Grupo Mercado Común, por la cual se regula el derecho a la información del consumidor en las transacciones comerciales efectuadas a través de Internet; el Decreto N° 131/005 (11 de abril de 2005) que incorpora la Decisión N° 13/04 del Consejo Mercado Común, por el cual se regula el intercambio de información a través de sistemas informáticos entre las Administraciones aduaneras del MERCOSUR; el Decreto N° 37/005 (27 de enero de 2005) que regula la destrucción de historias clínicas y la alternativa de aplicar tecnología informática; el Decreto N° 396/003 (30 de setiembre de 2003), que regula en el art. 8 losdatos personales relativos a la salud; el Decreto N° 65/998 (10 de marzo de 1998), que establece en el art. 21 como falta gravela divulgación de la contraseña de un funcionario, aún cuando la misma no llegue a ser utilizada; el Decreto N° 258/992 (9 de junio de 1992), que en el art.17 –después derogado por el Decreto N° 274/010 de 08/09/2010, art. 57– regula la conducta médica y los derechos del pacienteen el tratamiento de la información personal en historias clínicas, cuya violación por funcionarios públicos constituyen faltas administrativas; el Decreto N° 460/016 (31 de enero de 2017), que regula los compromisos asumidos por Uruguay en el marco de la Alianza para el Gobierno Abierto (Open Government Partnership); el Decreto N° 296/016 (4 de octubre de 2016), que regula el registro, conservación y actualización de los datos identificatorios de las personas en la Dirección Nacional de Identificación Civil; el Decreto N° 117/014 (9 de mayo de 2014) por el cual se crea el Sistema de Información de la Seguridad Social y que regula la recopilación y actualización de la información referida a los regímenes de seguridad social estatales y no estatales, públicos o privados; el Decreto N° 297/016 (4 de octubre de 2016) por el cual regula el registro, conservación y actualización de los datos identificatorios de las personas que ingresan al territorio nacional.
[12] En noviembre de 2016 fue designada para ejercer la Presidencia de la Red Iberoamericana de Protección de Datos Personales.
[13] Publicada en el Diario Oficial de la Unión Europea, de 23 de agosto de 2012.
[14] La Constitución Política Colombiana, modificada por Acto Legislativo núm. 2 de 2003, recoge en su art. 15 textualmente que"todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”. Cfr. N. Remolina Angarita, “La protección de datos personales y el Habeas data en Colombia: avances, retos y elementos para su regulación”, en Protección de datos de carácter personal en Iberoamérica, cit. págs. 153-196.
[15] La Corte Constitucional en la sentencia C-1011 de 2008 ha señalado que la Ley N° 1.266 de 2008 no es una norma general sino una norma sectorial que rige el tratamiento de los datos sobre el cumplimiento e incumplimiento de las obligaciones dinerarias. Es decir, es una regulación del habeas data financiero y no del habeas data general. Como señala Remolina, “en el corto plazo, la ley trae beneficios a muchos morosos, porque les da la posibilidad de eliminar sus datos negativos pero en el largo plazo, perjudica a todos los colombianos porque abrió la posibilidad para que nos cobren por ejercer el habeas data respecto de nuestros datos”. Cfr. N. Remolina Angarita, “Una mirada a la ley de habeas data desde la perspectiva de la Corte Constitucional”, Ámbito Jurídico, 19 de enero a 1 de febrero de 2009, pág. 22. Existen otras normas que hay que mencionar como la Ley N° 1.273 de 2009 que modifica el Código Penal, y crea un nuevo bien jurídico tutelado –denominado “de la protección de la información y de los datos”–, que preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones y la Ley Estatutaria por la cual se dictan disposiciones generales para la protección de datos personales. Hay que citar, además, otras normas sectoriales como la Ley N° 270/1996 del 7/03/1996 sobre Administración de Justicia (Artículo 95); la Ley N° 527 del 18/08/1999 sobre Mensajes de Datos, Comercio Electrónico y Firma Digital (Art. 2 y 32); la Ley N° 1.712/2014 sobre el derecho de acceso a la información pública; la Resolución 575/2002 sobre Telecomunicaciones; el Decreto 2870/ 2007sobre utilización de la red de telecomunicaciones del Estado; la Resolución MC 2578/2007, que garantiza la inviolabilidad de las comunicaciones; la Ley estatutaria N° 1.581 destina a establecer disposiciones generales para la protección de datos personales y que estipula la creación de una autoridad de protección de datos que recae en la Superintendencia de Industria y Comercio; el Decreto 1337/2013 por el cual se reglamenta parcialmente la Ley N° 1.581 de 2012 y se dictan disposiciones para reglamentar aspectos relacionados con la autorización del titular de información para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares de información, las transferencias de datos personales y la responsabilidad demostrada frenteal tratamiento de datos personales, la Resolución 2821/2016 por la cual se adopta la política de protección de datos en el Instituto de Hidrología, meteorología y estudios ambientales; la Ley N° 1.450/2011 sobre el Plan Nacional de Desarrollo que en el art. 227 desarrolla las reglas sobre el suministro de la información; el Estatuto Tributario de los impuestos administrados por la Dirección General de Impuestos Nacionales de 29 de diciembre de 2016 (art. 364-5) que regula los registros web y remisión de comentarios de la sociedad civil; el Decreto 886/2014 por el cual se reglamenta el art. 25 de la Ley N° 1.581 relativo al Registro Nacional de Bases de Datos.
[16] Esta Sentencia, de la que es ponente el Magistrado Jorge Ignacio Pretelt Chaljub, contiene un interesante análisis del derecho fundamental a la protección de datos personales y de la situación en Iberoamérica, destacando la participación del Profesor Nelson Remolina, de la Universidad de los Andes. Aprovecho también para agradecer las citas que de mi trabajo La protección de datos personales. En busca del equilibrio se encuentran en esta sentencia.
[17] La Constitución Política de Perú, de 1993 (Ref. octubre de 2005) establece entre sus garantías constitucionales la acción de “Hábeas Data, que la procede contra el hecho u omisión, Parte de cualquier autoridad funcionario o persona, que vulnera o amenaza los derechos a que se refiere el Artículo 2, inciso 5) y 6) de la Constitución”. Cfr. L. Oliver Palomino, “Implicaciones de la protección de los datos personales en la aplicación de la Ley peruana de transparencia y acceso a la información pública”, Protección de datos de carácter personal en Iberoamérica, cit. págs. 331-336; C. M. Velarde Koechlin, “La protección de datos personales en el Perú: panorama actual y propuestas de solución”, Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 427-439.
[18] Han participado activamente en su elaboración Lourdes Zamudio Salinas y Oscar Puccinelli. Hay que destacar en Perú algunas normas sectoriales: la Ley N° 29.499 que establece la vigilancia electrónica personal; el Código Procesal Constitucional Peruano 2004 (Arts. 61-74) ; el Código Penal 3/04/91 (Arts. 154, 156,157, 161-164, 207) ; la Ley N° 27.309, que incorpora el Cibercrimen; la Ley N° 28.493 que regula el Spam, de 18/03/05. (Arts. 1 y 3) y su Reglamento D.S. N° 031-2005-MTC.- (04/01/2006); la Ley N° 27.269 Firmas y Certificados Digitales 28/05/00 (Art. 8); la Ley N° 27.489 que regula las Centrales Privadas de Información de Riesgos y de Protección al Titular de la Información 28/06/01 (Arts. 9 al 18); la Ley N° 26.702 General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros; la Ley N° 27.806, de Transparencia y Acceso a la Información Pública, Decreto Supremo N° 043-2003-PCMy su Reglamento, Decreto Supremo N° 072-2003-PCM (07.08.2003); la Resolución Ministerial 111-2009 MTC/03 que salvaguarda el derecho a la inviolabilidad y secreto de las telecomunicaciones y Protección Datos Personales y regula las acciones de supervisión y control a cargo del Ministerio de Transportes y Comunicaciones; Ley N° 30.229, del 11 de julio de 2014, por la cual se adecúa la protección de datos personales mediante el uso de las tecnologías de información y comunicaciones en el sistema de remates judiciales y en los servicios de notificaciones de las resoluciones judiciales; la Ley N° 29.985, del 16 de enero de 2013, que regula la protección de datos producto de las transacciones del dinero electrónico; el Decreto Legislativo N° 1106, del 1 de julio de 2014, sobre el carácter confidencial de la información en los procesos de lucha contra el lavado de activos y otros delitos relacionados a la minería ilegal y crimen organizado; y el Decreto N° 040/2014, del 11 de junio de 2014, destinado a enmarcar y garantizar la protección de los datos personales de los servidores civiles.
[19] La Constitución de Costa Rica, de 1949, establece en el art. 23 que “el domicilio y todo otro recinto privado de los habitantes de la República son inviolables. No obstante pueden ser allanados por orden escrita de juez competente, o para impedir la comisión o impunidad de delitos, o evitar daños graves a las personas o a la propiedad, con sujeción a lo que prescribe la ley”. Posteriormente se tramitó una reforma constitucional que ha modificado el “Título IV” de los “Derechos y Garantías Individuales”, para agregar un artículo 24 bis: “Toda persona tiene derecho a tener o no tener personalidad virtual, donde su presencia, contenido y proyección se encuentre regulada por cada una de ellas. No podrá ser utilizada con fines discriminatorios en perjuicio de su titular. El Estado garantizará que la información contenida en la personalidad virtual goce de la adecuada seguridad informática y jurídica, con exclusión de terceros no autorizados que pretendan obtenerla. El Estado podrá hacer uso del contenido de la personalidad virtual de las personas, previa autorización de éstas, siempre que se realice en beneficio y provecho de las mismas”. Cfr. A. Chirino Sánchez y M. Carvajal Pérez, “El camino hacia la regulación normativa del tratamiento de datos personales en Costa Rica”, y J. F. Barth Jiménez, “Marco normativo y jurisprudencial de la protección de datos en Costa Rica”, ambos en Protección de datos de carácter personal en Iberoamérica, cit. págs. 197-261 y págs. 261-270.
[20] Como norma sectorial hay que destacar el Código Penal de Costa Rica (Arts. 196º bis, 217º bis y 229º bis).También merece citarse la Ley N° 7.576, del 3 de enero de 2012, sobre justicia penal juvenil y por la cual (art. 21) son confidenciales los datos sobre los hechos cometidos por menores sometidos a esta ley; la Ley N° 8.642, del 25 de junio de 2012, sobre telecomunicaciones y por la cual (arts. 43 y 43) se protege la privacidad de las comunicaciones y datos personales; el Código Procesal Penal, del 23 de octubre de 2014, (art. 181) que establece que “no podrá utilizarse información obtenida mediante tortura, maltrato, coacción, amenaza, engaño, indebida intromisión en la intimidad del domicilio, la correspondencia, las comunicaciones, los papeles y los archivos privados, ni información obtenida por otro medio que menoscabe la voluntad o viole los derechos fundamentales de las personas”.
[21] Cfr. J. Téllez Valdés, Derecho informático, 3º ed., Mc Graw Hill, México D. F. 2003, págs. 57-75.
[22] Estos principios han sido detallados en los “Lineamientos de Protección de Datos Personales” (Diario Oficial de la Federación, de 30 de septiembre de 2005, también accesibles en la web del IFAI www.ifai.org.mx). Cfr. L. Ornelas y S. López Ayllón, “La recepción del derecho a la protección de datos en México: breve descripción de su origen y estatus legislativo”, en Protección de datos personales, IFAI-ITAM, 2010, págs. 53-73. Cfr. A. García Torres, “El proyecto de Ley Federal de Protección de Datos Personales” y E. Guerrero Gutiérrez, “Legislación sobre Protección de Datos Personales en México”, ambos en Protección de datos de carácter personal en Iberoamérica, cit. págs. 307-314 y 315-324; L. M. Ramírez, “Protección jurídica de datos personales. Situación actual en México”, Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 445-455.
[23] El art. 1 de la Ley General de Protección de Datos Personales en posesión de sujetos obligados establece que “son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos”.Entre la legislación sectorial hay que destacar el Código Federal Penal, con una reforma de 8/02/06 sobre la Revelación y Acceso a los equipos Informáticos (Arts. 210 y 211); Ley de Protección y Defensa al Usuario de Servicios Financieros, 18/01/99 (Art. 5) ; la Ley Federal de Protección al Consumidor, 6/05/00 (Art. 76bis); la Ley de las Sociedades de Información Crediticia del 2002 (Arts. 1, 2, 18 y 38 al 50) ; y la Ley de Información Estadística y Geografía 30/12/83 (Arts. 35 al 44) .
[24] Cfr. F. Escalante Gonzalbo, “El Derecho a la privacidad”, Cuadernos de Transparencia 2, IFAI.
[25] Ley de Transparencia e Información Pública del Estado de Aguascalientes; Ley de Acceso a la Información Pública para el Estado de Baja California; Ley de Transparencia y Acceso a la Información Pública para el Estado de Baja California Sur ; Ley de Transparencia y Acceso a la Información Pública del Estado de Campeche; Ley que Garantiza la Transparencia y el Derecho a la Información Pública para el Estado de Chiapas; Ley de Transparencia y Acceso a la Información Pública del Estado de Chihuahua; Ley de Acceso a la Información Pública y Protección de Datos Personales para el Estado de Coahuila; Ley de Transparencia y Acceso a la Información Pública del Estado de Colima; Ley de Transparencia y Acceso a la Información Pública del Distrito Federal; Ley de Acceso a la Información Pública del Estado de DurangoLey de Acceso a la Información Pública para el Estado y los Municipios del Estado de GuanajuatoLey de Acceso a la Información Pública del Estado de GuerreroLey de Transparencia y Acceso a la Información Pública Gubernamental del Estado de Hidalgo ; Ley de Transparencia e Información Pública del Estado de Jalisco; Ley de Transparencia y Acceso a la Información Pública del Estado de México y Municipios; Ley de Transparencia y Acceso a la Información Pública del Estado de Michoacán de Ocampo; Ley de Transparencia y Acceso a la Información Pública del Estado de Nayarit; Ley de Transparencia y Acceso a la Información Pública del Estado de Oaxaca; Ley de Transparencia y Acceso a la Información Pública del Estado de Puebla; Ley Estatal de Acceso a la Información Gubernamental en el Estado de Querétaro; Ley de Transparencia y Acceso a la Información Pública del Estado de Quintana Roo; Ley de Transparencia y Acceso a la Información Pública del Estado de San Luis Potosí; Ley de Acceso a la Información Pública del Estado de Sinaloa; Ley de Acceso a la Información Pública del Estado de Sonora; Ley de Transparencia y Acceso a la Información Pública del Estado de Tabasco; Ley de Acceso a la Información Pública y Protección de Datos Personales para el Estado de Tlaxcala; Ley de Información Pública del Estado de Tamaulipas; Ley de Transparencia y Acceso a la Información Pública para el Estado de Veracruz de Ignacio de la Llave; Ley de Acceso a la Información Pública para el Estado y los Municipios de Yucatán; Ley de Acceso a la Información Pública del Estado de Zacatecas.
[26] La Constitución Política de la República de Chile 1980, modificada en el plebiscito de 30 de julio de 1989, señala en el art. 19.4 que "la constitución asegura a todas las personas: El respeto y protección a la vida privada y pública y a la honra de la persona y de su familia”. Cfr. R. J. Jijena, “Luces y sombras de la Ley chilena sobre Protección de Datos Personales”, en Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 385-403.
[27] Hay que destacar otras normas como el Decreto 779/2000. Reglamentación de la Ley N° 19.629 que regula el Registro de Bancos de Datos Personales a Cargo de los Organismos Públicos; la Ley N° 19.223 Relativa a Delitos Informáticos de junio de 1993. (Arts. 1 -4); en materia laboral la Ley N° 19.812. (Artículo 2) y la Ley N° 19.759 (Artículo 5, Inciso 1); en el ámbito sanitario la Ley N° 19.628 (Artículo 24); y la Ley N° 19.496 Protección a los Derechos de los Consumidores. También hay que citar: la Ley N° 20.285, de 5 de enero de 2016, sobre acceso a la información pública (arts. 7 y 31); la Ley N° 20.575, del 17 de febrero de 2012 mediante la que se establece el principio de finalidad en el tratamiento de la información personal; el Decreto 779, del 11 de noviembre del 2000, por el cual se aprueba el Reglamento del Registro de Bancos de Datos Personales a cargo de Organismos Públicos; y la Ley N° 20.886, del 18 de junio del 2016, sobre tramitación digital de los procedimientos judiciales (art. 2) que prohíbe el tratamiento masivo de los datos personales contenidos en el sistema de tramitación electrónica del Poder Judicial, sin su autorización previa.
[28] El artículo único del proyecto de reforma constitucional, núm. 9384-07 de Senado, de 11 de Junio de 2014, expresa lo siguiente: “Modificase el artículo 19 N° 4 de la Constitución Política de la República, agregándose los siguientes incisos segundo y tercero nuevos: "Toda persona tiene derecho a la protección de sus datos personales y obtener su rectificación, complementación y cancelación, si estos fueren erróneos o afectaren sus derechos, como asimismo a manifestar su oposición, de acuerdo con las disposiciones establecidas en la ley. Su tratamiento sólo podrá hacerse por ley o con el consentimiento expreso del titular".
[29] La Constitución de la República Federativa de Brasil recoge en el art. 5 LXXII quese concederá "habeas data": a) para asegurar el conocimiento de informaciones relativas a la persona del impetrante que consten en registros o bancos de datos de entidades gubernamentales o de carácter público; b) para la rectificación de datos, cuando no se prefiera hacerlo por procedimiento secreto, judicial o administrativo (…); y LXXVII son gratuitas las acciones de "habeas corpus" y "habeas data" y, en la forma de la ley, los actos necesarios al ejercicio de la ciudadanía.
[30] Hay que destacar en Brasil algunas normas como la Ley N° 9.296 que reglamenta la intercepción de comunicaciones telefónicas del 24 de junio de 1996 (Arts. 1 al 10); el Código Penal, que recoge la violación del domicilio, de correspondencia; de comunicación telefónica, divulgación de secreto; violación de secreto profesional; la Ley Complementaria N° 105 (secreto de las operaciones de instituciones financieras) y el Código de Protección y defensa del Consumidor.También hay que citar la Ley N° 9.472/97, del 16 de julio de 1997, que crea la Agencia Nacional de Telecomunicaciones como una autoridad de vigilancia y control de los bienes jurídicos que se desprenden del derecho de la privacidad en el sector de las telecomunicaciones, y, recientemente, el Código de Menores, del 9 de abril de 2014, (art. 100), que establece la promoción de los derechos y la protección de los niños y adolescentes debe llevarse a cabo con respeto a la intimidad, el derecho a la imagen y de su vida privada.
[31] Igualmente, la Constitución de la República del Ecuador (aprobada en 2008) señala en el art. 23 que el Estado reconocerá y garantizará a las personas “el derecho al honor y al buen nombre. La ley protegerá la imagen y la voz de la persona; el derecho a la intimidad personal y familiar; y, el derecho a la inviolabilidad y al secreto de la correspondencia física y virtual”.
[32] Entre esta legislación sectorial hay que señalar algunas normas como el Código de Ética, del 17 de agosto de 1992 (art. 75), orientado a regular los documentos médicos relacionados con los pacientes, así como el registro de la información por otros medios, haciéndolos compatibles con su carácter reservado y confidencial; la Ley Orgánica de la Salud, del 22 de diciembre del 2006 (art. 7), que regula el respeto a su dignidad, autonomía, privacidad e intimidad de la información personal en las historias clínicas; la Ley de Seguridad Social, del 30 de agosto de 2001 (art. 247), que protege el acceso a la información laboral; laLey de Comercio Electrónico, Firmas y Mensajes de Datos, del 17 de Abril del 2002 (art. 9), sobre la protección de datos personales y su regulación o transferencia en bases de datos; el Código de la Niñez y la Adolescencia, del 3 de enero de 2003 (art. 53), sobre el derecho a la privacidad y a la inviolabilidad del hogar y las formas de comunicación; el Código Orgánico Integral Penal, del 10 de febrero de 2014 (art. 229), que sanciona la revelación ilegal de bases de datos mediante la violación del secreto, intimidad y privacidad de las personas; el Código Orgánico General de Procesos, del 22 de mayo de 2015 (art. 7), que garantiza los datos personales de las partes procesales sean destinados únicamente a la sustanciación del proceso y se registren o divulguen con el consentimiento libre, previo y expreso de su titular; la Ley Orgánica de Régimen Tributario, del 17 de noviembre de 2004 (art. 22), orientada a regular el tratamiento de la información personal de los contribuyentes.
[33] En la legislación sectorial vinculada a la protección de la información personal y los bienes jurídicos relacionados con su tutela hay que mencionar: Decreto 147-99 que regula la Ley Especial sobre VHI-SIDA, de 9 de septiembre de 1999 (art. 58); el Decreto 44-2004, del 1 de abril de 2004, sobre procesos electorales y de las organizaciones políticas (art. 139); y el Decreto 194-2002, del 15 de mayo de 2002, sobre equilibrio financiero y la protección social (art. 45).
[34] La Constitución de la República de Guatemala reconoce en el art. 24 la "inviolabilidad de correspondencia, documentos y libros. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cable-gráficas y otros productos de la tecnología moderna".
[35] Entre la legislación sectorial hay que mencionar la Ley de Acceso a la Información Pública de Guatemala (Decreto 57-2008 del Congreso de la República); la Ley de Derecho de Autor y Derechos Conexos Decreto N° 33-98; el Decreto 006-2003 del Congreso de la República, Ley de Protección al Consumidor y Usuario; el Decreto 39-2010 que reforma el Decreto 90-2005 que regula lo relativo a la protección de los datos personales en procesos de fiscalización y establece un nuevo plazo de vigencia de la Cedula de Vecindad; el Decreto 03-04 que reforma el DCX 06-91 del Código Tributario en su art. 101 para hacer referencia a la confidencialidad de la información relativa a las contabilidades de personas individuales o jurídicas.
[36] Reforma introducida en 2014, mediante la Ley N° 854 reformatoria parcial a la Constitución –aprobada el 29 de enero y publicada en la Gaceta N° 26 del 10 de febrero– por la cual se modifica el numeral 3 del artículo 26 de la Constitución Política de la República.
[37] El artículo 190 de la Constitución de Nicaragua señala que “el Recurso de Habeas Data como garantía de tutela de datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos, de naturaleza pública o privada, cuya publicidad constituya invasión a la privacidad personal y tenga relevancia con el tratamiento de datos sensibles de las personas en su ámbito íntimo y familiar. El Recurso de Habeas Data procede a favor de toda persona para saber quién, cuándo, con qué fines y en qué circunstancias toma contacto con sus datos personales y su publicidad indebida”.
[38] En el ámbito sectorial se destaca el Decreto N° 7001, aprobado el 17 de octubre de 2012, por el cual se asegura que el sistema de reconocimientos médicos relativos al trabajo respete el principio de confidencialidad de los datos personales y la privacidad de los trabajadores domésticos. Hay que mencionar también el Acuerdo Ministerial publicado en La Gaceta N° 37 del 24 de Febrero de 2009 por el cual se clasifica como información pública reservada, toda aquella información cuya divulgación ponga en riesgo la defensa y seguridad de la Nación; y como información privada, toda aquella información que recoja datos personales que están tutelados y protegidos por la Constitución Política y la Ley. También hay que mencionar la Ley de Firma Electrónica de 30 de agosto de 2010 (art. 25) que regula la protección de datos personales y la Ley N° 621, de 26 de junio de 2007 (art. 4), que regula el habeas data.
[39] Cfr. F. M. Ávila y M. Álvarez de Bozo, “Lineamientos generales para una legislación venezolana sobre la libertad informática y el habeas data”, Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 455-496.
[40] Entre la legislación sectorial hay que mencionar la Ley de registro de antecedentes penales del 3 de Agosto de 1979 (Arts. del 6 al 8); la Ley sobre Protección a la Privacidad de las Comunicaciones del 16 de Diciembre de 1991; la Ley Orgánica para la Protección del Niño y del Adolescente del 10 de Febrero de 1998 (Arts. 65 al 68) ; la Ley Especial contra Delitos Informáticos del 30 de Octubre de 2001 (Arts. 20 al 30); y la Ley sobre Mensajes de Datos y Firmas Electrónicas del 13 de diciembre de 2000 (art. 5).
[41] Como legislación sectorial hay que destacar el Código Penal, modificado por la Ley N° 1.768 de 10 de Marzo de 1997 (arts. 363 Bis y 363 ter.), que incluye los Delitos Informáticos; el Decreto Supremo N° 28168, de 18 de mayo de 2005, de Acceso a la Información del Poder Ejecutivo (artículo 19 Petición de Hábeas Data); la Ley N° 164, del 8 de agosto del 2011, destinada a proteger las telecomunicaciones y tecnologías de la información y la comunicación que busca asegurar la protección de datos personales desde el contexto tecnológico; el Decreto Supremo N° 1793 destinado a la reglamentación de la Ley N° 164; la Ley N° 458, del 23 de diciembre de 2013, sobre protección de denunciantes y testigos (arts. 5, 7, 8 y 26) que garantiza la confidencialidad de toda información inherente a la identidad y demás datos personales de la persona protegida; la Ley N° 37 del 10 de enero de 2012 sobre acceso a la información pública.
[42] El art. 2 de la Constitución de la República de El Salvador recoge textualmente que "Toda persona tiene derecho a la vida, a la integridad física y moral, a la libertad, a la seguridad, al trabajo, a la propiedad y posesión, y a ser protegida en la conservación y defensa de los mismos. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen."
[43] Cfr. J. M. Ayala, H. Campos, R. Corripio, R. Rodríguez y C. Fernández Aller, La protección de datos personales en el Salvador, UCA, 2005, esp. págs. 137-164. Como normas sectoriales hay que destacar en El Salvador la Ley de Bancos Decreto N° 697 –que regula el servicio información crediticia y el secreto Bancario–; la Ley de Protección al Consumidor. Decreto Legislativo N° 166. 08/09/2005; la Ley Telecomunicaciones y Energía. Decreto Legislativo N° 142. 6/11/1997 (Reformada oct. 2008); el Código Penal. Decreto Legislativo 1030. 26/04/1997. Delitos relativos a la Intimidad; y el Reglamento General de Ley Penitenciaria que establece algunas disposiciones sobre privacidad de datos del interno; la Ley Especial contra delitos informáticos y conexos, de 5 de marzo de 2016, (arts. 3, 22, 24 y 26); la Ley de Acceso a la Información, de 8 de mayo de 2011 (Titulo lll, Capítulo l “Protección de Datos Personales”); y, más recientemente, la Ley de Firma Electrónica, del 25 de octubre de 2015 (arts. 3, 5 y 65).
[44] La Constitución Política de 1972 de Panamá (Reformada en 1978,1983, 1994 y 2004) recoge también en los arts. 42 a 44 el derecho de acceso a la información y el habeas data.
[45] Entre la legislación sectorial en Panamá, hay que destacar: la Ley N° 6 del 22 de enero de 2002, de Transparencia y Acceso Información Pública que establece la acción de Habeas Data (Arts. 3, 13 y 17); la Ley N° 24 del 22 de mayo de 2002 que regula el servicio de información sobre el historial de crédito (…) (Arts. 23 y 30; y la Ley N° 3 del 5 de enero de 2000, Ley General sobre las Infecciones de Transmisión Sexual, el Virus de la Inmunodeficiencia Humana y el Sida (Arts. 34 y 37).
[46] República Dominicana tiene una interesante legislación sectorial: Ley General de Telecomunicaciones N° 153-98, del 27 de mayo de 1998; Ley N° 126-02, del 4 de septiembre del 2002, de Comercio Electrónico, Documentos y Firmas Digitales; Ley General 200-04 sobre Libre Acceso a la Información Pública; Resolución N° 7150 de 18 /09/2007 de la Procuraduría General de la República para establecer las políticas para la correcta aplicación del reglamento sobre Registro de Datos de Personas con Antecedentes Delictivos (Decreto 122-07); Reglamento de aplicación Decreto 130-05; Ley N° 288-05 que regula las sociedades de intermediación crediticia y de protección al titular de la información: Resolución 055-06 del Instituto Dominicano de Telecomunicaciones (INDOTEL) sobre Protección de Datos de Carácter Personal por los Sujetos Regulados; Ley N° 53-07, del 23 de abril de 2007, contra Crímenes y Delitos de Alta Tecnología.
[47] La Ley N° 172-13 de Protección Integral de Datos Personales, del 15 de diciembre del 2013, desarrolla ampliamente el contenido de la acción de habeas data, legitimación activa y pasiva, procedimiento y el desarrollo de los derechos de acceso, rectificación, cancelación y oposición.
[48] Hay que mencionar únicamente la Ley N° 1.682 que reglamenta la información de carácter privado y la Ley N° 1.969 que modifica, amplía y deroga varios artículos de la Ley N° 1.682. Entre la legislación sectorial hay que resaltar la Ley N° 1.728 de Transparencia Administrativa. Cfr. M. G. Triguis, “El habeas data en el Paraguay y su reglamentación”, en Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 439-445; R. Vouga, “La protección de datos en la legislación paraguaya”, Derecho y Nuevas Tecnologías, núms. 4-5, 2003, págs. 417-427. Cfr. también Superintendencia de Bancos de Paraguay, “Marco legislativo nacional y autoridades de control de protección de datos en Paraguay”, Protección de datos de carácter personal en Iberoamérica, cit. págs. 325-330. En cuanto a la legislación sectorial se destacan: la Ley N° 4868/13, del 26 de febrero de 2013, sobre Comercio Electrónico (arts. 6, 7 y 36); y el Decreto 1490/14, del 14 de abril de 2014, por el cual se reglamenta la Ley de Defensa de la Competencia (arts. 75 y 78).
[49] Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, 23 de febrero de 2012.El Presidente Obama ha calificado este documento como modelopara la privacidaden la era de la información –“as a blueprint for privacy in the information age”–.
[50] “I call on these companies to begin immediately working with privacy advocates, consumer protection enforcement agencies, and others to implement these principles in enforceable codes of conduct. My Administration will work to advance these principles and work with Congress to put them into law”.
[51] El Consejero Principal sobre Asuntos Europeos y Aplicación de Leyes Internacionales de la Misión de Estados Unidos ante la UE, Stewart Robinson, ha señalado, en referencia a la preocupación global de los usuarios por la seguridad de sus datos cuando utilizan la computación en la nube, que es “falso” que la UE se preocupe más por salvaguardar la privacidad que Estados Unidos, un país que defiende “importantes libertades civiles” y cuya Constitución reconoce el derecho a la privacidad. También quiso descartar la idea de que la UE “protege mejor” esos derechos que Estados Unidos, y señaló que ambos “hacen una labor muy parecida, ambos tienen enfoques muy semejantes”. Así, ha destacado que Estados Unidos ha impulsado unas líneas directrices que recogen los derechos fundamentales de los consumidores, de manera que cada industria se comprometa a través de un código de conducta adoptado. En todo caso, Robinson ya adelantó que la Casa Blanca iba a presentar de manera inminente un “libro blanco” con la finalidad de proponer a las empresas el desarrollo de códigos de conducta sobre la protección de la información. Cfr. El Economista, 19.3.2012.
[52] Recientemente hemos analizado la aproximación del Reglamento europeo al modelo anglosajón, haciendo referencia a la autorregulación, la desregulación, la accountability y el establecimiento de un estándar más cool de protección de datos. De esta forma, el Reglamento refleja un diálogo entre ordenamientos jurídicos. Cfr. A. Troncoso Reigada, “Autoridades de control independientes”, en J. L. Piñar Mañas, El Reglamento General de Protección de Datos, Reus, Madrid, 2017.
[53] Comunicación de la Comisión “La protección de la privacidad en un mundo interconectado. Un Marco Europeo de Protección de Datos para el siglo XXI”, COM (2012) 9 final. Esta cuestión la hemos abordado con más extensión en A. Troncoso Reigada, “Hacia un nuevo marco jurídico europeo de protección de datos personales”, en Revista Española de Derecho Europeo, núm. 43, 2012, págs. 25-160.
[54] COM (2012) 10 final y COM (2012) 11 final. El contenido de ambas propuestas tiene el interés de mostrar cuál es la posición inicial de la Comisión.
[55] Reglamento (UE), del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
[56] Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24.10.1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Cfr. HEREDERO HIGUERAS, M., La Directiva Comunitaria de protección de los datos de carácter personal. Tecnos, Madrid, 1998 –especialmente las págs. 17-49 que explican el proceso negociador–; ARENAS RAMIRO, M., El derecho fundamental a la protección de datos personales en Europa, Tirant lo Blanch, Valencia, 2006, págs. 191-376; GUERRERO PICÓ, M. C., El impacto de Internet en el Derecho fundamental a la protección de datos de carácter personal, Civitas, 2006, págs. 55-134; TÉLLEZ AGUILERA, A., La protección de datos en la Unión Europea. Divergencias normativas y anhelos unificadores, Edisofer, Madrid, 2002, págs. 329-349.
[57] La Sentencia del TJUE lleva a cabo una interpretación del art. 7.f) de la Directiva 95/46/CE, en los asuntos acumulados C-468/10 y C-469/10, presentada en el marco de litigios en el que son partes la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD). La STJUE afirmó la incorrecta transposición de la Directiva por parte de la legislación española, que no incluyó como supuesto de legitimación del tratamiento la satisfacción de un interés legítimo del responsable, sino que impuso obligaciones adicionales y no estableció la necesaria ponderación con los derechos del interesado en las circunstancias concretas del caso particular.
[58] La Comunicaciones de la Comisión ya citada –COM (2012) 9 final– y la Exposición de Motivos de la propuesta de Reglamento exponen algunas razones para modificar el marco normativo como el incremento sin precedentes del intercambio de datos a gran escala a raíz de la rápida evolución tecnológica (Considerando 5), la necesidad de que el derecho fundamental a la protección de datos personales se aplique de manera coherente en todas las políticas de la UE (Considerando 8), evitando la fragmentación y permitiendo políticas de protección de datos más integradoras, y la necesidad de generar confianza en el entorno en línea para que la economía digital pueda desarrollarse en el mercado interior (Considerando 6), dada la percepción generalizada en la opinión pública de que existen riesgos significativos en este ámbito, algo esencial en la Agenda Digital para Europa y en la Estrategia Europa 2020.
[59] Cfr. el apdo. “Elementos jurídicos” de la propuesta de Reglamento. Inicialmente la Unión Europea contenía sólo una breve mención a la protección de datos personales dentro del Derecho comunitario originario –el artículo 286 del TCE–, introducido a través del Tratado de Ámsterdam, referido a la vigencia de este derecho en relación con los actos de las instituciones comunitarias y a su vigilancia por una Comisión independiente, lo que dio lugar a la aprobación del Reglamento (CE) n.º 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
[60] No obstante, la política exterior y de seguridad común se mantiene como algo aparte: no le es de aplicación la Carta de Derechos Fundamentales de la Unión Europea, siendo una materia que no está en el TFUE sino que se mantiene en el TUE. Además, la regulación sobre protección de datos en lo que antes se denominaba segundo pilar no es aprobada por el procedimiento antes descrito que da participación al Parlamento sino a través de decisiones del Consejo. Así, el art. 39 TUE, añadido por el Tratado de Lisboa, establece que “de conformidad con el art. 16 del TFUE y no obstante lo dispuesto en su apartado 2, el Consejo adoptará una decisión que fije las normas sobre protección de las personas físicas respecto al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del presente capítulo, y sobre la libre circulación de dichos datos”.
[61] De hecho, la fragmentación en la aplicación de la protección de datos personales en el territorio de la Unión que tanto ha criticado la Comisión no es sólo responsabilidad de los Estados –que han llevado a cabo una deficiente transposición de la Directiva 95/46/CE, como más adelante señalaremos– sino de la existencia de un régimen jurídico divergente para los distintos pilares. El Reglamento resalta la necesidad de crear un marco general y coherente de protección de datos personales que abarque todos los ámbitos de competencia de la Unión, incluida la cooperación policial y judicial en materia penal, de manera que se alcance la plena realización de un “espacio de libertad, seguridad, justicia y de una unión económica” –Considerando 2–. Hay que tener en cuenta que la Carta de Derechos Fundamentales se aplica ahora plenamente al Título VI del TUE y a la cooperación policial y judicial. La Directiva (UE) 2016/680, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, permite elevar la protección de los datos personales en los tratamientos por parte de las autoridades para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, sin perjuicio de respetar su especificidad y la existencia de un margen de maniobra para los Estados, al excluirlos del ámbito de aplicación material del Reglamento –art. 2– y regularlos por una Directiva. Además, la Declaración N° 20 relativa al artículo 16 del TFUE, aneja al Tratado de Lisboa, donde se señala que la Conferencia “declara que, siempre que las normas sobre protección de datos de carácter personal que hayan de adoptarse con arreglo al artículo 16 puedan tener una repercusión directa en la seguridad nacional, habrán de tenerse debidamente en cuenta las características específicas de la cuestión. Recuerda que la legislación actualmente aplicable (véase, en particular, la Directiva 95/46/CE) contiene excepciones específicas a este respecto”. También existe una Declaración N° 21 relativa a la protección de datos de carácter personal en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, aneja al Tratado de Lisboa, donde se señala que “la Conferencia reconoce que podrían requerirse normas específicas para la protección de datos de carácter personal y la libre circulación de dichos datos en los ámbitos de la cooperación judicial en materia penal y de la cooperación policial que se basen en el artículo 16 del Tratado de Funcionamiento de la Unión Europea, en razón de la naturaleza específica de dichos ámbitos”. En todo caso, el antiguo art. 30 del TUE –antiguo art. K.2– señalaba en el ámbito del tercer pilar que la recogida, almacenamiento, tratamiento, análisis e intercambio de información pertinente, en particular mediante Europol –incluida las relativas a las operaciones financieras sospechosas–, tenía que desarrollarse con sujeción a las disposiciones correspondientes en materia de protección de datos personales. Además, los Estados siempre han tenido que respetar los principios del Convenio 108 del Consejo de Europa, de 28 de enero de 1981. Hay que destacar en este último ámbito la Recomendación de 1987 del Comité de Ministros del Consejo de Europa encaminado a regular la utilización de datos de carácter personal en el sector de la policía –Recomendación R (87) 15m de 17 de septiembre de 1987–.
[62] El Parlamento Europeo había criticado en el pasado el retraso de la Comisión en la presentación de un instrumento legal de protección de datos para el tercer pilar, que garantizara el mismo nivel de protección en el primer y en el tercer pilar. El Report of the European Parliament on the First Report on the implementation of the Data Protection Directive señaló: “Deplores the extremely serious delays that have occurred within the Commission in this matter and urges it to propose within the first half of 2004, as announced, a 'legal instrument' on the protection of privacy in the third pillar; this instrument should be binding in nature and aimed at guaranteeing in the third pillar the same level of data protection and privacy rights as in the first pillar; it should harmonise, according to these high standards, the current rules on privacy and data protection concerning Europol, Eurojust and all other third-pillar organs and actions, as well as any exchange of data between them and with third countries and organisations” —COM (2003) 265 —C5-0375/2003-2003/2153 (INI) —http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm—. Hay que recordar también que el Parlamento Europeo ya había abogado en su Resolución sobre el Programa de Estocolmo, por la revisión de la Decisión Marco. Cfr. Resolución del Parlamento Europeo sobre la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada «Un espacio de libertad, seguridad y justicia al servicio de los ciudadanos –Programa de Estocolmo», adoptada el 25 de noviembre de 2009–. En todo caso, son múltiples las normas europeas relativas a la coordinación de las policías de los Estados miembros, que incluyen algunas garantías en relación con el intercambio de información. Lógicamente, éstas, al igual que la Recomendación 87 del Consejo de Europa, suponían un menor nivel de exigencia. Cfr. la Decisión Marcó 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, más conocida como Decisión Marco, que supuso un avance; la Decisión 2000/641/JAI, del Consejo, de 17 de octubre de 2000, por la que se crea una Secretaría para las autoridades comunes de control de protección de datos establecidas por el Convenio por el que se establece una Oficina Europea de Policía (Convenio Europol), el Convenio relativo a la utilización de la tecnología de la información a efectos aduaneros y el Convenio de aplicación del Acuerdo de Schengen relativo a la supresión gradual de los controles en las fronteras comunes (Convenio de Schengen). Cfr. también la Decisión 2000/642/JAI, del Consejo, de 17 de octubre de 2000, relativa a las disposiciones de cooperación entre las unidades de información financiera de los Estados miembros para el intercambio de información. En esta dirección, la Comisión ha impulsado la protección de datos de carácter personal también en este ámbito, tratando de establecer unas reglas comunes en el área de libertad, seguridad y justicia, en virtud del anterior TUE. Así, la Comisión había adoptado una propuesta relativa a la protección de datos personales en el ámbito de la policía y de la cooperación judicial en materia penal en el marco del principio de disponibilidad. Cfr. el documento de la Comisión. COM (2005) 475 final of 4.10.2005 COM (2005) 490 final of 12.10.2005 –http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm–. Como señala la Comisión, “however, until the situation concerning the ratification process of the Constitutional Treaty becomes clearer the Commission has stressed the need for more efficient procedures in the area of Freedom, Security and Justice under the current Treaties”. Cfr. Communication from the Commission to the European Parliament and the Council on the follow-up of the Work Programme for better implementation of the Data Protection Directive, Bruselas, 7.3.2007, COM (2007) 87 –http://ec.europa.eu/justice_home/fsj/privacy/law/implementation_en.htm– [lo citaremos como Segundo Informe sobre la aplicación de la Directiva]. Por último, hay que señalar que España nunca planteó ningún obstáculo para la aplicación de los principios de protección de datos al tercer pilar, lo que no se puede decir de todos los países europeos.
[63] La Corte de Justicia en el Asunto PNR había reiterado que los tratamientos de datos personales que tengan como finalidad la aplicación de la Ley y la salvaguarda de la seguridad pública, incluyendo no sólo los que llevan a cabo las fuerzas y cuerpos de seguridad sino también aquellos que desarrollan empresas privadas, están excluidos de la Directiva 95/46/CE, al caer dentro del tercer pilar. Cfr. la STJUE, de 30.6.2006, as. PNR, (C-317/04 y C-318/04), relativa a la cesión desde la Unión Europea a la autoridad de los Estados Unidos de datos de los pasajeros que vuelen hasta ese país, que anuló, a instancia del Parlamento, la Decisión del Consejo relativa a la celebración del acuerdo entre la CE y EE.UU (Decisión 2004/496/CE, de 20 de mayo de 2004) y la Decisión de la Comisión sobre el carácter adecuado de los datos de los pasajeros que se transmiten a EE.UU (Decisión 2004/535/CE, de 6 de julio de 2004). El TJUE considera que el art. 95 TCE no puede constituir la base de la competencia de la Comunidad para celebrar el Acuerdo. Cfr. GONZÁLEZ VAQUÉ, L., “El Tribunal de Justicia de las Comunidades Europeas anula el Acuerdo entre la Comunidad Europea y los EEUU para la transmisión de los datos sobre pasajeros por las compañías aéreas”, REDE, 2006, págs. 557-577; ORÓ MARTÍNEZ, C., “La anulación de la transferencia de datos personales de los pasajeros aéreos a los EEUU”, RGDE, 11, 2006. En todo caso, la legislación de los Estados miembros que desarrolla el derecho fundamental a la protección de datos podía tener como ámbito de aplicación no sólo las materias que estaban entonces dentro de la esfera europea –la trasposición de la Directiva– sino también materias que estaban fuera de ella, por lo que la legislación de los Estados no tenían que hacer necesariamente una distinción entre protección de datos en el primer y en el tercer pilar. Esto depende de cada Estado, no existiendo una situación uniforme en toda la Unión Europea.
[64] Cfr. sobre el concepto de integración PÉREZ TREMPS, P., Constitución Española y Comunidad Europea, Civitas, Madrid, 1993, págs. 35-64.
[65] La STJUE, de 9.11.2010, as. Volker und Markus Schecke y Eifert, señala en todo caso que el derecho a la protección de los datos de carácter personal del art. 8.1 de la Carta se halla íntimamente ligado al derecho al respeto a la vida privada reconocido en el art. 7 de la Carta. Cfr. MARTÍN Y PÉREZ DE NANCLARES, J., “Artículo 8. Protección de datos de carácter personal”, en MANGAS MARTÍN, A., (Dir.), Carta de los Derechos Fundamentales en la Unión Europea, Fundación BBVA, 2008, págs. 223-255, donde se analizan los trabajos de la Convención –págs. 227-228–. Cfr. también RUIZ MIGUEL, C., “El derecho a la protección de datos personales en la Carta de Derechos Fundamentales de la Unión Europea: análisis crítico”, RDCE, núm. 14, 2003, págs. 7-43. Aunque inicialmente la Carta no tuvo fuerza normativa plena, ha servido para que el TJUE se pronunciara expresamente sobre el derecho fundamental a la protección de datos en su labor de interpretación de la Directiva 95/46/CE, en las Sentencias Österreichischer Rundfunk –STJCE, de 20.5.2003– y Lindquist –STJCE, de 6.11.2003–. Cfr. el análisis efectuado por ARENAS RAMIRO, M., op. cit. págs. 246-248.
[66] Así, el Reglamento, teniendo ya su fundamentación en la Carta, no habla ya del derecho a la intimidad en lo que respecta al tratamiento de los datos personales –como hacía el art. 1.1 de la Directiva 95/46/CE– sino del derecho a la protección de datos personales –art. 1.2–, tal como es proclamado en el art. 8 de la Carta. En la misma dirección, el Considerando 1 parte del derecho a la protección de datos personales, reconocido en el art. 16.1 TFUE y en el art. 8.1 de la Carta. No obstante, si bien el art. 6 del TUE reconoce los derechos y libertades enunciados en la Carta de Derechos Fundamentales de la Unión Europea, “la cual tendrá el mismo valor jurídico que los Tratados”, también señala que las disposiciones de la Carta “no ampliarán en modo alguno las competencias de la Unión, tal como se definen en los Tratados”. La Unión dispone en este punto de competencias compartidas con los Estados miembros sobre mercado interior, sobre el espacio de libertad, seguridad y justicia y sobre el desarrollo tecnológico –art. 4 TFUE–.
[67] Como señala la Comisión en el Segundo Informe sobre la aplicación de la Directiva, “[t]he ratification of the Constitutional treaty may open new perspectives. The Constitutional Treaty would have an enormous impact in this field. It would enshrine in Article II-68 the right to protection of personal data in Article 8 of the Charter of Fundamental Rights. It would also create a specific and self-standing legal basis for the Union to legislate in this matter in Article I-51, paving the way for adopting instruments applicable in all sectors”. Cfr. sobre la cuestión DE MIGUEL SÁNCHEZ, N., “El derecho a la protección de datos personales en el Tratado por el que se instituye una Constitución para Europa”, RAP, núm. 169, 2006, págs. 301-335; GUERRERO PICÓ, M. C., “El derecho fundamental a la protección de los datos de carácter personal en la Constitución europea”, RDCE, 2005, págs. 293-332; y más ampliamente ÁLVAREZ CONDE, E. y GARRIDO MAYOL, V., (Dirs.), Comentarios a la Constitución Europea, Valencia, Tirant lo Blanch, 2005.
[68] En una de las mesas redondas de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Madrid el 4 y 5 de noviembre de 2009, estaban representadas las empresas que han protagonizado esta evolución hasta ese año: IBM, Microsoft, Google y Facebook.
[69] El Internet de las Cosas permite la comunicación entre dispositivos y proveedores de forma automática e incluso desconocida para sus propietarios. De esta manera, muchas cosas son localizadas, identificadas, monitorizadas y controladas de forma remota a través de tecnologías como radiofrecuencia, sensores de red, pequeños servidores embebidos y colectores de energía, todos conectados utilizando Internet de última generación. Como señaló David Petraeus –Director de la CIA– “te espiaremos a través de tu lavavajillas”. La Comisión Europea lanzó una consulta pública online para permitir a sus ciudadanos dar su opinión sobre esta cuestión a través de siete secciones: privacidad, seguridad, seguridad en infraestructuras críticas, ética, identificadores e interoperabilidad, gobernanza y estándares. Cfr. Infosecurity-magazine.com, 13.4.2012.
[70] El Reglamento subraya los nuevos retos para la protección de los datos personales derivados de la evolución tecnológica y de la globalización, que han transformado la vida económica y social, permitiendo a las empresas privadas y a las autoridades públicas la utilización de datos personales a gran escala; también los individuos difunden un volumen cada vez mayor de información personal a escala mundial –Considerando 5–. Al mismo tiempo la Comisión señala la existencia de una percepción generalizada entre la opinión pública de que existen riesgos significativos para la protección de las personas relacionados especialmente con las actividades en línea –Considerando 7 y Euro barómetro especial (EB) 359, Data Protection and Electronic Identity in the EU (Protección de datos e identidad electrónica en la UE, 2011), en http://ec.europa.eu/ public_opinion/ archives/ebs/ ebs_359_en.pdf.–.
[71] La afirmación –del año 1999– es del Presidente y co-fundador de Sun Microsytems, Scott McNealy; es el comienzo del interesante trabajo de PIÑAR MAÑAS, J.L, ¿Existe privacidad?, en Protección de datos personales, Alonso Editores, México, 2010, en especial, cfr. los ataques a los que hoy está sometida la privacidad –págs.19-25–.
[72] Como señala el Considerando 5 de la Directiva, la integración económica y social resultante del establecimiento de un mercado interior previsto en el art. 7 A del Tratado implica necesariamente un aumento notable de los flujos transfronterizos de datos personales entre todos los agentes de la vida económica y social de los Estados miembros, tanto públicos como privados. La Directiva hacía una estimación de un incremento del intercambio de datos personales entre empresas establecidas en los diferentes Estados miembros. Además, consideraba que las propias Administraciones Públicas estaban destinadas a colaborar y a intercambiar datos personales a fin de cumplir su cometido o ejercer funciones por cuenta de las administraciones de otros Estados miembros, en el marco del espacio sin fronteras que constituye el mercado interior –en similares términos se expresa el Considerando 4 del Reglamento–.
[73] Cfr. COM (90) 314 final– SYN 287 y 288–, 13 de septiembre de 1990, pág. 4.
[74] Cfr. el Primer informe sobre la aplicación de la Directiva sobre protección de datos (95/46/CE), Bruselas, 15.5.2003 COM (2003) 265 —http://ec.europa.eu /justice_home/fsj/ privacy/law/implementation _en.htm—. Así, la Directiva 95/46/CE considera como objetivos la protección de las libertades y de los derechos fundamentales de las personas físicas y la libre circulación de los datos personales –art. 1–. El Tribunal de Justicia, en la Sentencia Lindqvist señala que “la Directiva 95/46/CE trata de asegurar la libre circulación de datos personales, garantizando al mismo tiempo un alto nivel de protección de los derechos e intereses de las personas a las que se refieren dichos datos” –apdo. 96–. El Reglamento también recoge ambos objetivos –art. 1-; en esta misma dirección, su Considerando 2 señala el doble objetivo de que los tratamientos de datos personales deben estar al servicio del hombre, respetando el derecho a la protección de los datos personales, al mismo tiempo que se asume que el tratamiento de datos personales debe contribuir al progreso económico y social, al esfuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de los individuos. De hecho, dos de los tres objetivos estratégicos sobre los que la Comisión realizó la evaluación de impacto la propuesta de Reglamento eran mejorar la dimensión del mercado interior y hacer más efectivo el ejercicio de los derechos de protección de datos por los ciudadanos.
[75] En cambio, el Reglamento tiene su fundamento no sólo en la aproximación de las legislaciones de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior –art. 114.1 TFUE– sino también en el derecho a la protección de los datos personales –art. 16.2 TFUE–
[76] Como señala el Considerando 7 de la Directiva, las diferencias entre los niveles de protección de los derechos y libertades de las personas, especialmente de la intimidad, garantizados en las disposiciones legales y reglamentarias de los Estados miembros en relación a los tratamientos de datos personales pueden suponer un impedimento a la transmisión de datos de un Estado a otro, dificultando el ejercicio de las actividades económicas a escala comunitaria, falseando la competencia e impidiendo que las Administraciones cumplan los cometidos que les incumben en virtud del Derecho comunitario. Por este motivo, el objetivo de la Directiva 95/46/CE era facilitar el funcionamiento del mercado interior, mediante el establecimiento de unos niveles semejantes de protección de datos personales entre los Estados miembros –en términos semejantes se expresa el Considerando 7 del Reglamento– y el apdo. 1.4.3 “Justificación de la propuesta” de la Ficha Financiera Legislativa que incide en que las divergencias de normativa obstaculizan el funcionamiento del mercado interior y la cooperación entre autoridades públicas en relación con las políticas de la UE.
[77] Cfr. más ampliamente MANGAS MARTÍN, A., “El compromiso con los derechos fundamentales”, MANGAS MARTÍN, A. (Dir.), Carta de los Derechos Fundamentales en la Unión Europea, Fundación BBVA, 2008, págs. 31-75; ALONSO GARCÍA, R., “La Carta de los Derechos Fundamentales de la Unión Europea”, Gaceta jurídica de la UE y de la competencia, núm. 209, 2000, págs. 3 y ss; ALONSO GARCÍA, R., “El triple marco de protección de los derechos fundamentales en la Unión Europea”, y SAIZ ARNÁIZ, A., “La Carta de los Derechos Fundamentales de la Unión Europea y los ordenamientos nacionales: ¿qué hay de nuevo?”, Cuadernos de Derecho Público, núm. 13, 2001, págs. 13 y ss. y 153 y ss.; CORCUERA, J. (Coord.), La protección de los derechos fundamentales en la Unión Europea, Dykinson, Madrid, 2002; WEBER, A., “La Carta de los Derechos Fundamentales de la Unión Europea”, REDC núm. 64, 2002, págs. 79 y ss; con anterioridad, CHUECA SANCHO, A., Los derechos fundamentales en la Unión Europea. Bosch, Barcelona, 1999; DÍEZ PICAZO, L. M., “¿Una Constitución sin declaración de derechos? (Reflexiones constitucionales sobre los derechos fundamentales en la Comunidad Europea)”, REDC núm. 32, 1991.
[78] STJCE, de 12.11.1969, 29-69. El demandante cuestionaba una decisión de la Comisión sobre venta de mantequilla a precio reducido a beneficiarios del régimen de asistencia social con divulgación de su nombre. Inicialmente la ausencia de un reconocimiento de derechos fundamentales en los Tratados constitutivos de la Unión Europea se superó manteniendo que los derechos fundamentales reconocidos en los textos constitucionales de los Estados miembros eran parte de los principios generales del Derecho comunitario y del acervo comunitario. El TJCE afirmó en la Sentencia Stauder que los derechos fundamentales se hallaban comprendidos «en los principios generales del derecho comunitario que el Tribunal garantiza», de manera que «el respeto a los derechos fundamentales forma parte integrante de los principios generales del derecho que el Tribunal de Justicia salvaguarda», salvaguardia que se inspira en «las tradiciones constitucionales comunes a los Estados miembros». Cfr., tempranamente ALONSO GARCÍA, R., Derecho Comunitario. Sistema constitucional y administrativo de la Comunidad Europea, Ceura, Madrid, 1994, págs. 600-665; más recientemente MANGAS MARTÍN, A., ibídem, págs. 34-35; ARENAS RAMIRO, M., op. cit. págs. 226-227.
[79] Además de las ya citadas Directiva 95/46/CE, de la Carta de Derechos Fundamentales de la Unión Europea y del malogrado proyecto de Tratado que aprobaba una Constitución para Europa, hay que destacar distintas normas de Derecho Derivado institucional. Cfr. la Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15.10.1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, que adaptó los principios expuestos en la Directiva 95/46/CE en normas específicas para el sector de las telecomunicaciones –donde existe un tratamiento masivo de datos de abonados y usuarios–, atribuyendo a ésta un carácter supletorio. Cfr. también la Directiva 2002/58/CE, de 12.7.2002, relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas –modificada por el art. 89 de la propuesta de Reglamento–, que ha actualizado –y derogado– la Directiva 97/66/CE recogiendo la evolución de los mercados y de las tecnologías de servicios de comunicación electrónica, como Internet, con el fin de ofrecer el mismo nivel de protección de los datos personales y la intimidad para todas las tecnologías utilizadas. Esta Directiva se beneficia ya de la influencia de la Carta, ya que no sólo hace referencia a la intimidad y la vida privada de los ciudadanos, sino también al derecho fundamental a la protección de datos personales como derecho autónomo. También hay que señalar la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8.6.2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior y que hace una mención expresa a la Directiva 95/46/ CE en relación al tratamiento de datos personales; igualmente la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15.3.2006, sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes de comunicaciones, por la que se modifica la Directiva 2002/58/CE. También hay que destacar la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25.11.2009, por la que se modifican la antes citada Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas, y la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, y que obliga al responsable de la web a obtener el consentimiento del usuario para instalar una cookie –un pequeño programa– en el navegador del internauta con la finalidad recordar datos de acceso y otras preferencias del internauta sobre el sitio web que la emite. Son útiles para facilitar determinados trámites del usuario que, gracias a las cookies, no debe repetirlos porque el sitio lo reconoce. Son utilizadas para ajustar la publicidad en función de la navegación del internauta. Algunos usos han despertado polémica sobre la protección de la privacidad. Las Administraciones Públicas, siguiendo a las entidades privadas, también recurren a las cookies para conocer las frecuencias, los comportamientos y los itinerarios que siguen los ciudadanos al visitar los sitios web de la Administración Cfr. VALERO TORRIJOS, J., “El uso de cookies por las Administraciones Públicas: ¿una vulneración de la normativa sobre protección de los datos personales?”, Revista Aranzadi de Derecho y Nuevas Tecnologías, núm. 3, 2003, págs. 173-178.
[80] Así, por ejemplo, además de las Sentencias ya citadas, hay que destacar la STJCE, de 5.10.1994, as. X vs. Comisión (C-404/92), en la que el Tribunal estudió la protección de la vida privada en el contexto de las relaciones laborales, reconociendo el derecho a mantener la reserva sobre el estado de salud, todo ello al amparo de la jurisprudencia del Tribunal Europeo de Derechos Humanos y de los principios derivados de las tradiciones constitucionales comunes a los Estados miembros. No obstante, este derecho puede sufrir limitaciones, como señala el propio artículo 8 del Convenio, lo que implica que si los servicios de contratación de las instituciones comunitarias exigen a un candidato que se someta a un examen médico y éste se niega, la Comisión no está obligada a soportar los riesgos derivados de su contratación. En la STJCE, de 14.9.2000, As. Fisher (C-369/98), se analizó la divulgación de datos de carácter personal contenidos en un fichero, resolviéndolo a partir de los criterios generales establecidos en la Directiva 95/46/CE, que, si bien no había entrado en vigor todavía en el momento en el que se planteó el asunto, remitía en su Exposición de Motivos a los principios comunes a los Estados miembros en esta materia. Cfr., más ampliamente, ARENAS RAMIRO, M., op. cit. págs. 225-248.
[81] Así, la Comisión Europea abrió entre abril y agosto de 2011 una consulta pública sobre Cloud Computing con la finalidad de establecer condiciones para la prestación de servicios de computación en nube, abordando cuestiones como la responsabilidad del tratamiento, la seguridad de la información o la autoridad de control. La Comisión se planteó si sería útil establecer un “Modelo de Acuerdo de Nivel de Servicio o de Acuerdos de Usuario Final”. Las respuestas a esta consulta pública han servido para confeccionar la estrategia a seguir sobre esta cuestión, que se incluirá en la Agenda Digital de la Comisión hasta 2020.
[82] Una de las características de la “nube” es que permite guardar la información en muchos lugares diferentes. Así, por ejemplo, una persona que se conecta desde su ordenador en España a una web estadounidense, que ofrece el servicio de almacenar y compartir fotografías, puede estar subiendo esa información a servidores alojados en Holanda o en cualquier otro país.
[83] Como señala el Informe del Parlamento Europeo, “personal data protection infringements (concerning EU citizens' data) are likely to take place more in third countries than in the Member States” Cfr. Report of the European Parliament on the First Report on the implementation of the Data Protection Directive –COM (2003) 265 –C5-0375/2003-2003/2153 (INI) – http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm–.
[84] Esta cumbre del G-8 dedicada a Internet, en la ciudad francesa de Deauvill, analizó la necesidad de establecer un marco jurídico eficaz, no para frenar Internet, sino para asegurarse de que prospere sobre la base del respeto a la privacidad, a la propiedad y a los derechos de las personas, dando confianza a los usuarios, ya que la autorregulación parece insuficiente. En el discurso inaugural, Sarkozy señaló que Internet no es no es “un universo paralelo, liberado del imperio de la ley, sin moral y sin los principios fundamentales que gobiernan la vida social en los países democráticos”. Así, resaltó que Internet es un vector de una potencia inédita para la libertad de expresión, clave en las revoluciones de Túnez y Egipto, pero que no puede escaparse de unos valores y reglas mínimos. Así, "si bien la población árabe ha mostrado que Internet no pertenece a los Estados, sin embargo, en esta tercera mundialización de la historia no puede marginarse a los Estados democráticos. Olvidar que son los representantes legítimos de la voluntad popular sería apostar por un riesgo claro, el caos democrático, la anarquía". El presidente francés enumeró los peligros de Internet y advirtió del peligro de que aparezcan nuevos monopolios donde han desaparecido otros, a la vez que se opuso a la idea de una transparencia total”. Sarkozy recalcó que, si la tecnología es neutra, no lo son sus usos y que no debe permitirse que la revolución digital pueda atentar contra los derechos elementales. Por el contrario, empresas como Google y Facebook defendieron en esa Cumbre un papel subsidiario de los Gobiernos en la regulación de la Red. Así, Eric Schmidt, presidente de Google, destacó que la tecnología va más rápida que los Gobiernos, por lo cual aconseja no legislar antes de saber si la propia tecnología ofrece remedios a los problemas. Cfr. El País, 25.5.2011. El consejero delegado de Vodafone, Vittorio Colao, ha defendido, en cambio, la necesidad de que las empresas de Internet, como Facebook o Google, cumplan con la normativa europea en materia de seguridad y privacidad, como lo hacen los operadores de telecomunicaciones europeos, que tienen que asumir los costes de salvaguardar la legislación. Cfr. Europa Press, 6.6.2011.
[85] Las empresas globales demandan respuestas también globales para la protección de la privacidad. Cfr. la Declaración de la Industria sobre “la necesidad de marcos internacionales en apoyo a la protección de la privacidad y de los datos personales”, de 27 de octubre de 2009.
[86] El Párrafo Operativo 3 de esta Resolución establece que “la Conferencia mandata la creación de un Grupo de Trabajo, bajo coordinación de la Autoridad organizadora de la 31ª Conferencia Internacional y con la participación de las Autoridades de protección de datos interesadas en ello, con el objetivo de elaborar una Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal.”
[87] Correspondió a la Agencia Española de Protección de Datos el mérito de coordinar el grupo de trabajo que redactó la Propuesta Conjunta sobre Estándares Internacionales. Hay que destacar el papel que en ella jugó el entonces Director de la Agencia Artemi Rallo, que tuvo la inteligencia y el liderazgo necesario que posibilitó la aprobación de la Resolución. Inteligencia –y flexibilidad– porque supo elegir los temas que debían incluirse en el documento final y aquellos que debían constar en la Memoria explicativa, renunciando a otros aspectos que no podían estar en el texto si se quería alcanzar el consenso final. Liderazgo porque fue capaz de vencer reticencias y escepticismos internos y externos para permitir la aprobación de una Resolución y aunar en torno a ella tanto a la sociedad civil como a la industria.
[88] Cualquier iniciativa encaminada a tratar de proteger la privacidad de manera global se encuentra con el problema de que hay países mucho más estrictos en sus normas que otros. De nada sirve empecinarse en una propuesta nacional o europea muy exigente –de máximos– si en otros ámbitos geográficos se defienden posiciones más flexibles, por lo que se impone una aproximación realista en un proceso negociador de estas características.
[89] En los distintos grupos de trabajo participaron no sólo representantes de las autoridades sino también de la sociedad civil, la industria y la Universidad. Como señala Artemi Rallo, “su carácter consensuado aporta dos valores añadidos esencialmente novedosos: de un lado, enfatiza la vocación universal de los principios y garantías; del otro, reafirma la factibilidad de avanzar hacia un documento internacionalmente vinculante, que contribuya a una mayor protección de los derechos y libertades individuales en un mundo globalizado y, por ello, caracterizado por las transferencias internacionales de información”. Cfr. RALLO LOMBARTE, A., “Presentación” a Estándares Internacionales sobre Protección de Datos Personales y Privacidad, AEPD, 2009. Lógicamente, las Autoridades Nacionales de Protección de Datos deben tratar de impulsar los trabajos necesarios que permitan extraer consecuencias concretas a partir de la aprobación de esta Resolución. Esta es una cuestión que corresponde principalmente en nuestro país a la Agencia Española de Protección de Datos.
[90] Como hemos señalado en otro momento, la Conferencia Internacional de Protección de Datos y la Conferencia de Primavera de Autoridades Europeas no están constituidas en virtud de Tratados o Convenios Internacionales y, por tanto, no se trata de la participación en ninguna organización internacional regida por el Derecho internacional general. Estas Conferencias son un foro de debate teórico sobre cuestiones de actualidad que afectan a la protección de datos personales y de intercambio de experiencias entre las distintas Autoridades que tienen que aplicar en el día a día el derecho fundamental. Estas Conferencias también tienen una sesión cerrada sólo para autoridades de control, que sirve para aprobar declaraciones sin valor jurídico como la Resolución de Madrid, que incluso, en algunas ocasiones, han estado en contradicción con la propia opinión de los Estados. Cfr. A. Troncoso Reigada, La protección de datos personales. En busca del equilibrio, Tirant lo Blanch, Valencia, 2010, págs. 1890-1902.
[91] En parte, las facilidades para aprobar la Resolución de Madrid han sido consecuencia de una estrategia de wait and see de muchas autoridades de control y de que ésta no tenga un carácter normativo.
[92] Cfr. la Nota explicativa de la Resolución de Madrid.
[93] Cfr. el apartado 4 de la Resolución.
[94] En otro momento la Resolución señala que el documento puede ser utilizado “como base para el desarrollo de la comprensión y la cooperación internacional sobre protección de datos y privacidad, particularmente en el contexto de permitir las transferencias internacionales de datos personales, que tendrán lugar de un modo que proteja los derechos y libertades de los individuos” –art. 4.b) de la Resolución–.
[95] El Tribunal Europeo de Derechos Humanos incluyó a partir de 1987 dentro del derecho a la vida privada reconocido en el Convenio, el derecho a la protección de datos personales, desgranando en los últimos veinticinco años una interesante jurisprudencia que ha definido los elementos principales de este derecho fundamental. Cfr. RUIZ MIGUEL, C., El derecho a la protección de la vida privada en la jurisprudencia del Tribunal Europeo de Derechos Humanos, Civitas, Madrid, 1994; QUERALT JIMÉNEZ, A., El Tribunal de Estrasburgo: una jurisdicción internacional para la protección de los derechos fundamentales, Tirant lo Blanch, Valencia, 2003, págs. 71-122.
[96] Este Convenio ha sido suscrito hasta la fecha por 47 países, la mayoría del continente europeo. En el mes de marzo de 2012, la Comisionada presidenta del Instituto Federal de Acceso a la Información y Protección de Datos de Méjico (IFAI) Jacqueline Peschard planteó ante la secretaria general adjunta del Consejo de Europa (CE), Maud de Boer-Buquicchio, el interés de México por adherirse al Convenio 108. Previamente Uruguay ya había solicitado formalmente su adhesión el 6 de julio de 2011 y finalmente ratificó el Convenio el 10 de abril de 2013. En el año 2016 han ratificado el Convenio 108 Senegal e Islas Mauricio, dos países que no pertenecen al Consejo de Europa. La Resolución de Madrid expresa el apoyo de la Conferencia Internacional a los esfuerzos del Consejo de Europa para impulsar el derecho a la protección de los datos personales e “invita a los Estados, sean o no miembros de la organización, a ratificar el Convenio”. Cfr. la Nota Explicativa de la Resolución, donde también se muestra el apoyo de la Conferencia Internacional a las acciones llevadas a cabo por la APEC, la OCDE y otros foros regionales e internacionales con vistas a desarrollar herramientas que fomenten unos mejores estándares internacionales de privacidad y protección de datos personales. Igualmente, la Declaración de la Sociedad Civil sobre Estándares de Privacidad en un Mundo Global, de 3 de noviembre de 2009, exhortó “a los países que no hayan ratificado la Convención 108 del Consejo de Europa junto con el Protocolo 2001 para que lo hagan con mayor celeridad”. España ha tardado muchos años en ratificar el Protocolo Adicional (Convenio 181) al Convenio 108 a pesar que desde el año 2001 se abrió para su firma. Finalmente lo hizo con fecha de 3 de junio de 2010 y entró en vigor el 1 de octubre de 2010. También la Resolución de la Sociedad Civil antes citada menciona las Directrices de Privacidad de la OCDE, de 1980. Hay que señalar que el 28 de enero de 2011, el Consejo de Europa y la Comisión Europea organizaron una conferencia sobre la necesidad de establecer unas normas de protección de datos comunes a escala mundial.
[97] Como señaló el comisario Bolkestein en la sesión de clausura de la Conferencia sobre la aplicación de la Directiva, «[c]iertamente no se parte de una hoja en blanco cuando se trata de tomar medidas en el ámbito de la protección de datos (...). Al elaborar su informe, la Comisión […] deberá tener en cuenta el marco jurídico y político general, en concreto, los principios formulados en el Convenio 108 del Consejo de Europa». Cfr. Primer informe sobre la aplicación de la Directiva cit. Como es sabido, el Tribunal de Justicia señaló la imposibilidad de la adhesión de la Comunidad Europea al CEDH señalando que la Comunidad carecía de competencias en esta materia —Dictamen 2/1994, de 28 de marzo de 1996—.Con la entrada en vigor del Tratado de la Unión Europea —antiguo art. F— se estableció que: «1. La Unión se basa en los principios de libertad, democracia, respeto de los derechos humanos y de las libertades fundamentales y el Estado de Derecho, principios que son comunes a los Estados miembros. 2. La Unión respetará los derechos fundamentales tal y como se garantizan en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales firmado en Roma el 4 de noviembre de 1950, y tal y como resultan de las tradiciones constitucionales comunes a los Estados miembros como principios generales del Derecho comunitario». Recientemente el Consejo de Europa ha hecho pública su Estrategia sobre Internet 2012-15 para la protección y el respeto de los derechos humanos de los usuarios, el Estado de Derecho y la democracia en la red, que incluye cuarenta líneas de actuación concretas que tratan de hacer de Internet un espacio abierto y centrado en los ciudadanos. Entre estas prioridades destacan la protección de los datos y la privacidad, la protección de los menores, aprovechar el potencial de Internet para promover la democracia, la transparencia y la diversidad cultural, y la cooperación internacional contra el cibercrimen.
[98] Mientras la Carta de Derechos Fundamentales de la Unión Europea y el derecho derivado institucional sólo obligan a los Estados miembros en la ejecución del Derecho de la Unión Europea, el Convenio 108 y el CEDH vincula a los Estados en la actuación de todos sus poderes públicos.
[99] En octubre de 2011, el Buró del Comité Consultivo de la Convención 108 (T-PD-BR) se reunió en Estrasburgo para analizar las posibles modificaciones al Convenio 108 y a su Protocolo Adicional. Las propuestas de reforma se discutieron en el Pleno del Consejo del Comité Consultivo Europeo, del 29 de noviembre al 2 de diciembre de 2011. Durante el año 2011 se abrió una consulta sobre la modernización del Convenio 108. Hay un documento sobre propuestas de modernización, de 27 de abril de 2012, y un documento final sobre la modernización del Convenio 108, de 17 de septiembre de 2012 –http://www.coe.in t/t/dghl/st andardse tting/dataprot ection/mod ernisa tion–.
[100] Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, 23 de febrero de 2012.
[101] El Gobierno Británico había anunciado su voluntad de presionar para eliminar muchos de los poderes de la Comisión Europea para hacer actos delegados y de ejecución, especialmente cuando estos tienen el potencial de hacer una gran diferencia en los principios fundamentales –por ejemplo, en los intereses legítimos que los responsables pueden alegar para la legitimación de su tratamiento–.
[102] Cfr. PÉREZ TREMPS, P, “La débil Parlamentarización de la integración en España”, en La encrucijada constitucional en la Unión Europea, Civitas, Madrid, 2002, págs. 401-416. TAJADURA TEJADA, J., El futuro de Europa: luces y sombras del Tratado de Lisboa, Comares, Granada, 2010.
[103] El principio democrático exige que toda decisión política, libre en fines, de un poder público tenga que ser reconducible al titular de la soberanía. Cfr. BÖCKENFÖRDE, E. W., "Demokratie als Verfassungsprinzip" Staat, Verfassung, Demokratie. Studien zur Verfassungstheorie und zum Verfassungsrecht, Suhrkamp, Frankfurt am Main, 1991, págs. 289-378.
[104] La Comisión Europea había señalado que el ahorro estimado que se derivaba de la armonización regulatoria y de la desaparición de las tasas de notificación era de 2.3 billones de euros al año. Sin embargo, el Ministerio de Justicia Británico había discrepado de las cifras resultantes de esa evaluación de impacto de la Comisión porque no había cuantificado correctamente los costes de las nuevas obligaciones del responsable del tratamiento y había sobreestimado los beneficios del fortalecimiento del derecho de acceso y del derecho al olvido. Así, por ejemplo, no compartía la propuesta de que el derecho de acceso se ejercitase sin coste alguno y planteaba reticencias sobre la propuesta de “derecho al olvido” en relación con sus aspectos prácticos, sus costes y la posibilidad deconfusión que esta regulación podía ocasionar en las personas y en las organizaciones. Igualmente rechazaba las nuevas obligaciones del responsable de hacer evaluaciones de impacto, la previa autorización de la autoridad de control, la designaciónobligatoria de delegados de protección de datos, a las que considerabanuevascargas burocráticasy potencialmente costosas para las organizaciones que, además, noparecía que fueran a ofreceruna mayor protección alas personas; ponía reticencias también a las comunicaciones de las brechas de seguridad en las infracciones menores, e incidía en la necesidad de impulsar una mayor proporcionalidad en la aplicación de las multas máximas. Cfr. Call for Evidence on Proposed EU Data Protection Legislative Framework. Summary of Responses, 28 de junio de 2012, Ministry of Justice, págs. 11 y 37-38, en www.justice.gov.uk.
[105] “Presentación” a Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, 23 de febrero de 2012.